Linux ISDN HOWTOKlausFranken(i4lklausfrankende ) v122 September1998
Einrichtung eines Internet-Zugang-Rechners mit ISDN4Linux - Eine praxisorientierte Beschreibung mitUumlbungen
Inhaltsverzeichnis
1 Einleitung 4
11 Voraussetzungen 4
12 Wassoll erreichtwerden 4
13 Wasmuszligich lesenwassoll ich lesen 5
14 Sprache 5
15 keineGewaumlhrleistung 5
16 Feedback 5
17 Copyright 5
2 Grundlagen 6
21 ISDN4Linux ModemoderNetzwerk 6
22 UumlberblickuumlberdieFeatures 6
23 Uumlberblickuumlberdie fehlendenFeatures 7
24 UumlberblickuumlberdieTools 7
3 Hardware-Modul laden 7
31 isdnlogkonfigurieren 8
32 PlugampPlay-Karten 9
33 HiSax-Treiberladen 11
331 Ladenmit YaST 11
332 Ladenuumlberetcrcconfig 11
333 Ladenvon Hand 13
334 Troubleshooting 13
34 Hardwaretesten 14
35 Uumlbung Hardwareansprechen 14
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
41 ISDN 15
42 TK-Anlagen 16
43 Wasist meineMSN 17
INHAL TSVERZEICHNIS 2
44 ProblemebeimVerbindungsaufbaudie CauseMeldungen 17
5 syncPPPVerbindung herstellen 18
51 Unterschiedeanalog- ISDN 18
511 Analog 18
512 ISDN 19
52 Wasist eigentlichsynchronesPPP 19
53 Die Konfiguration 19
531 Netzdevicesanlegenundkonfigurieren 19
532 ipppdstarten 20
533 Authentifizierungbeimipppd 22
534 WelcheDatenmuszligich uumlberdenZugangkennen 23
535 PPPbei SuSEeinrichten 24
54 ProblemebeimVerbindungsaufbauTroubleshooting 25
55 Uumlbung syncPPP-Verbindungherstellen 27
6 Problememit dynamischenIP-Nummern 27
61 Der RST-provokingmode 29
62 WelcheIP-Nummersetzeich denneigentlich 29
7 Routing 30
71 Wasist Routing 30
72 Wie konfiguriertmandasRouting 30
721 SuSEMethode 30
722 ManuelleMethode 31
723 Loumlschenvon Routing-Eintraumlgen 31
73 KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau(etcpppip-up) 32
731 WasmachtdasScriptip-upip-down 32
74 Uumlbung Kontrollieredie IP-NummerunddieRouting-Tabelle 32
8 IP-Nummern Aufloumlsung(DNS) 34
81 festeIP-NummernAufloumlsunguumlberetchosts 34
82 dynamischeIP-NummernAufloumlsungmit DNS 34
83 KonfigurationderNamensaufloumlsung 35
831 NamensaufloumlsungbeiSuSE 35
84 Problememit derNamensaufloumlsung 36
841 Checkliste 36
INHAL TSVERZEICHNIS 3
9 Dial-On-Demandkontrollieren 37
91 Verbindungenuumlberwachen 37
92 GrundderVerbindungfeststellen 37
93 Verbindungenauswerten 38
94 Dial-On-Demandan-undausstellen 38
95 Tips im SuSESystem 38
96 Wie erlaubeich normalenBenutzernDial-In-Demandzuaktivieren 39
10 Konfiguration der Inter net-Dienste 40
101 DNS-Cache 40
102 Squid 41
1021 Startenvon Squid 41
1022 Clientsanpassen 41
103 Fetchmail 42
104 Sendmail 42
105 News 43
1051 slrn installierenundkonfigurieren 44
1052 Leafnodeinstallierenundkonfigurieren 45
106 Firewall 46
1061 Wasist einPaketfilter 46
1062 Wie gibt maneineFirewall-Regelan 47
1063 Wasfuumlr Regelnbraucheich mindestens 47
1064 Ein einfacherFirewall 48
107 Masquerading 48
108 Accounting 49
109 Samba 49
11 Installation 50
111 verwendeteProgrammversionen 50
112 UnterschiedeKernel20und21 50
12 MailinglistenNews 50
121 WelcheMailinglistengibt es 50
122 Wie frageich aufderMailingliste 51
123 Wie helfeich auf derMailingliste 51
13 Links 51
131 WWW undFTP 51
132 lokaleDokumentationen 52
1 Einleitung 4
133 Buumlcher 52
14 Credits 52
15 News 53
151 v1202 September1998 53
1 Einleitung
DasTutoriumwendetsichanISDN-Einsteigerundsolchemit erstenErfahrungendie sichjetzt auchfuumlr die weitereKonfigurationdesGesamt-Systems(zBMailsystemFirewallsetc) interessieren
DasTutoriumwird praxisorientiertdurchgefuumlhrtEswerdennichtalleGrundlagenundFeaturesim DetailbesprochensondernderTeilnehmerhatnachdemTutoriumeinentsprechendkonfiguriertenRechnerbzw dieGrundlagendazu
Im Tutorium wird die Distribution SuSELinux 52 benutzt AndereDistributionen(DebianRedHat) koumlnnenselbstverstaumlndlichauchbenutztwerdenBei BedarfwerdendienotwendigenScripteinstalliertSiehedazu11(Instal-lation)
In derSuSEDistribution sindzumeinendie notwendigenToolsalsauchKonfigurationsscripteenthaltendie eineabstraktereKonfigurationder ISDN-Verbindungenerlauben Im Tutorium wird jeweils der einfache Weg uumlberdieScripteunddannzur ReferenzdermanuelleWeg beschrieben
11 Voraussetzungen
Der Teilnehmersollte uumlberLinux-Grundkenntnisseverfuumlgen Auf demRechnersollte die Basis-Installationschonerfolgreichdurchgefuumlhrtsein
WeiterhinsollteeineunterstuumltzteISDN-KarteeingebautseinZu empfehlenist zB eineAVM-Fritz classicodereineELSA QS1000Siehe
httpwwwsusedeSupportsdbisdnh tml
fuumlr eineListederunterstuumltztenKarten
12 Wassoll erreicht werden
FolgendeAufgabewird geloumlstEin Linux-Rechnermit ISDN-Kartesoll Internet-Zugangs-Rechner(IZG) werdenDerRechnerwaumlhltsichbeieinemVerbindungswunschautomatischbeimInternet-Service-Provider(ISP)einundstelltdieNetzverbindungtransparenther Benutzeran dieserArbeitsstationhabennur vollstaumlndigenZugriff auf dasInternetundkoumlnnenzBWWW- undFTP-DienstenutzenDasMailsystemwird soeingerichtetdaszligbeimVerbindungsaufbauautomatischdieE-Mailsausgetauschtwerden
Ein eigenesKapitelbehandeltdieAnbindungeineslokalenNetzwerkesmit vollstaumlndigerInternet-Nutzung(Masquer-adingMail WWW FTP-Nutzung)undderbesonderenProbleme
DaessichumeineWaumlhlleitunghandeltwird besonderesAugenmerkdaraufgerichtetdaszligzwarvoller Internetzugangbestehtaberdie Telefonkostenmoumlglichstgeringgehaltenwerden
Um denrotenFadennichtzuverlierenwerdenfolgendeAnnahmengemachtdiefuumlr diemeistenPrivatanwender(aberauchkleineFirmendienureinenprivatenInternet-Zugangnutzen)zutreffen
1 Einleitung 5
ISDN WaumlhlleitungohneTK-Anlage(Euro-ISDN)
Protokoll syncPPPmit dynamischenIP-Nummern
keinProxy-Zwang
Mails koumlnnenuumlberSMTPverschicktundPOP3abgeholtwerden
DieseVoraussetzungentreffen inzwischenauf die meistenPrivat-ZugaumlngezB T-Online oder Personal-EunetundvieleprivateVereinezu
Weiterhinwird auf sicherheitsrelevanteFragenProblememit dynamischenIP-Nummernund denAnschlusseineslokalenNetzwerksandenIZR besprochen
13 Wasmuszlig ich lesenwassoll ich lesen
DerText ist rechtlanggewordendaanvielenStellenauf besondereProblemeeingegangenwird undTips zumTroo-bleshootinggegebenwerdenWerandiesenStellenkeineProblemehatbrauchtsichnatuumlrlichnichtdamitaufzuhalten- esschadetaberauchnicht
Aumlhnlich verhaumlltessichmit einigenGrundlagenzB RoutingoderdasKonfigurierenspeziellerAnwendungenzBMailaustauschDer erfahreneLeserwird hier wenig Neueserfahrenund kann dieseKapitel uumlberlesenSie sindaberdeswegenhier aufgenommenweil dasVerstaumlndnishierfuumlr unabdingbarist undgenauandiesenPunktenoft diemeistenProblemeim Alltag auftauchen
14 Sprache
DerEinfachheitundderbesserenLesbarkeit wegenwerdeich Dich denLeser duzen
15 keineGewaumlhrleistung
Der Text ist nachbestemWissenund GewissengeschriebenDer Autor uumlbernimmtkeineGewaumlhrleistungdaszligdiehier vorgestelltenMethodenrichtig sind funktionierensichersind oder tatsaumlchlichkeineunnoumltigenVerbindungenaufgebautwerden
DerLesersoll aberfuumlr eineinfachesSystemin die Lageversetztwerdengenaudiesin denGriff zubekommen-)
16 Feedback
Erwuumlnscht
PerE-Mail an i4lklausfrankende
17 Copyright
DiesesDokumentist urheberrechtlichgeschuumltztDasCopyright liegt beiKlausFranken
DasDokumentdarf gemaumlszligder GNU General PublicLicenseverbreitetwerden InsbesonderebedeutetdiesesdaszligderText sowohl uumlberelektronischewie auchphysikalischeMedienohnedie Zahlungvon Lizenzgebuumlhrenverbreitetwerdendarf solangedieserCopyright Hinweis nicht entferntwird Eine kommerzielleVerbreitungist erlaubtundausdruumlcklicherwuumlnschtBei einerPublikationin Papierformist dasDeutscheLinux HOWTO Projekthieruumlberzuinformieren
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
INHAL TSVERZEICHNIS 2
44 ProblemebeimVerbindungsaufbaudie CauseMeldungen 17
5 syncPPPVerbindung herstellen 18
51 Unterschiedeanalog- ISDN 18
511 Analog 18
512 ISDN 19
52 Wasist eigentlichsynchronesPPP 19
53 Die Konfiguration 19
531 Netzdevicesanlegenundkonfigurieren 19
532 ipppdstarten 20
533 Authentifizierungbeimipppd 22
534 WelcheDatenmuszligich uumlberdenZugangkennen 23
535 PPPbei SuSEeinrichten 24
54 ProblemebeimVerbindungsaufbauTroubleshooting 25
55 Uumlbung syncPPP-Verbindungherstellen 27
6 Problememit dynamischenIP-Nummern 27
61 Der RST-provokingmode 29
62 WelcheIP-Nummersetzeich denneigentlich 29
7 Routing 30
71 Wasist Routing 30
72 Wie konfiguriertmandasRouting 30
721 SuSEMethode 30
722 ManuelleMethode 31
723 Loumlschenvon Routing-Eintraumlgen 31
73 KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau(etcpppip-up) 32
731 WasmachtdasScriptip-upip-down 32
74 Uumlbung Kontrollieredie IP-NummerunddieRouting-Tabelle 32
8 IP-Nummern Aufloumlsung(DNS) 34
81 festeIP-NummernAufloumlsunguumlberetchosts 34
82 dynamischeIP-NummernAufloumlsungmit DNS 34
83 KonfigurationderNamensaufloumlsung 35
831 NamensaufloumlsungbeiSuSE 35
84 Problememit derNamensaufloumlsung 36
841 Checkliste 36
INHAL TSVERZEICHNIS 3
9 Dial-On-Demandkontrollieren 37
91 Verbindungenuumlberwachen 37
92 GrundderVerbindungfeststellen 37
93 Verbindungenauswerten 38
94 Dial-On-Demandan-undausstellen 38
95 Tips im SuSESystem 38
96 Wie erlaubeich normalenBenutzernDial-In-Demandzuaktivieren 39
10 Konfiguration der Inter net-Dienste 40
101 DNS-Cache 40
102 Squid 41
1021 Startenvon Squid 41
1022 Clientsanpassen 41
103 Fetchmail 42
104 Sendmail 42
105 News 43
1051 slrn installierenundkonfigurieren 44
1052 Leafnodeinstallierenundkonfigurieren 45
106 Firewall 46
1061 Wasist einPaketfilter 46
1062 Wie gibt maneineFirewall-Regelan 47
1063 Wasfuumlr Regelnbraucheich mindestens 47
1064 Ein einfacherFirewall 48
107 Masquerading 48
108 Accounting 49
109 Samba 49
11 Installation 50
111 verwendeteProgrammversionen 50
112 UnterschiedeKernel20und21 50
12 MailinglistenNews 50
121 WelcheMailinglistengibt es 50
122 Wie frageich aufderMailingliste 51
123 Wie helfeich auf derMailingliste 51
13 Links 51
131 WWW undFTP 51
132 lokaleDokumentationen 52
1 Einleitung 4
133 Buumlcher 52
14 Credits 52
15 News 53
151 v1202 September1998 53
1 Einleitung
DasTutoriumwendetsichanISDN-Einsteigerundsolchemit erstenErfahrungendie sichjetzt auchfuumlr die weitereKonfigurationdesGesamt-Systems(zBMailsystemFirewallsetc) interessieren
DasTutoriumwird praxisorientiertdurchgefuumlhrtEswerdennichtalleGrundlagenundFeaturesim DetailbesprochensondernderTeilnehmerhatnachdemTutoriumeinentsprechendkonfiguriertenRechnerbzw dieGrundlagendazu
Im Tutorium wird die Distribution SuSELinux 52 benutzt AndereDistributionen(DebianRedHat) koumlnnenselbstverstaumlndlichauchbenutztwerdenBei BedarfwerdendienotwendigenScripteinstalliertSiehedazu11(Instal-lation)
In derSuSEDistribution sindzumeinendie notwendigenToolsalsauchKonfigurationsscripteenthaltendie eineabstraktereKonfigurationder ISDN-Verbindungenerlauben Im Tutorium wird jeweils der einfache Weg uumlberdieScripteunddannzur ReferenzdermanuelleWeg beschrieben
11 Voraussetzungen
Der Teilnehmersollte uumlberLinux-Grundkenntnisseverfuumlgen Auf demRechnersollte die Basis-Installationschonerfolgreichdurchgefuumlhrtsein
WeiterhinsollteeineunterstuumltzteISDN-KarteeingebautseinZu empfehlenist zB eineAVM-Fritz classicodereineELSA QS1000Siehe
httpwwwsusedeSupportsdbisdnh tml
fuumlr eineListederunterstuumltztenKarten
12 Wassoll erreicht werden
FolgendeAufgabewird geloumlstEin Linux-Rechnermit ISDN-Kartesoll Internet-Zugangs-Rechner(IZG) werdenDerRechnerwaumlhltsichbeieinemVerbindungswunschautomatischbeimInternet-Service-Provider(ISP)einundstelltdieNetzverbindungtransparenther Benutzeran dieserArbeitsstationhabennur vollstaumlndigenZugriff auf dasInternetundkoumlnnenzBWWW- undFTP-DienstenutzenDasMailsystemwird soeingerichtetdaszligbeimVerbindungsaufbauautomatischdieE-Mailsausgetauschtwerden
Ein eigenesKapitelbehandeltdieAnbindungeineslokalenNetzwerkesmit vollstaumlndigerInternet-Nutzung(Masquer-adingMail WWW FTP-Nutzung)undderbesonderenProbleme
DaessichumeineWaumlhlleitunghandeltwird besonderesAugenmerkdaraufgerichtetdaszligzwarvoller Internetzugangbestehtaberdie Telefonkostenmoumlglichstgeringgehaltenwerden
Um denrotenFadennichtzuverlierenwerdenfolgendeAnnahmengemachtdiefuumlr diemeistenPrivatanwender(aberauchkleineFirmendienureinenprivatenInternet-Zugangnutzen)zutreffen
1 Einleitung 5
ISDN WaumlhlleitungohneTK-Anlage(Euro-ISDN)
Protokoll syncPPPmit dynamischenIP-Nummern
keinProxy-Zwang
Mails koumlnnenuumlberSMTPverschicktundPOP3abgeholtwerden
DieseVoraussetzungentreffen inzwischenauf die meistenPrivat-ZugaumlngezB T-Online oder Personal-EunetundvieleprivateVereinezu
Weiterhinwird auf sicherheitsrelevanteFragenProblememit dynamischenIP-Nummernund denAnschlusseineslokalenNetzwerksandenIZR besprochen
13 Wasmuszlig ich lesenwassoll ich lesen
DerText ist rechtlanggewordendaanvielenStellenauf besondereProblemeeingegangenwird undTips zumTroo-bleshootinggegebenwerdenWerandiesenStellenkeineProblemehatbrauchtsichnatuumlrlichnichtdamitaufzuhalten- esschadetaberauchnicht
Aumlhnlich verhaumlltessichmit einigenGrundlagenzB RoutingoderdasKonfigurierenspeziellerAnwendungenzBMailaustauschDer erfahreneLeserwird hier wenig Neueserfahrenund kann dieseKapitel uumlberlesenSie sindaberdeswegenhier aufgenommenweil dasVerstaumlndnishierfuumlr unabdingbarist undgenauandiesenPunktenoft diemeistenProblemeim Alltag auftauchen
14 Sprache
DerEinfachheitundderbesserenLesbarkeit wegenwerdeich Dich denLeser duzen
15 keineGewaumlhrleistung
Der Text ist nachbestemWissenund GewissengeschriebenDer Autor uumlbernimmtkeineGewaumlhrleistungdaszligdiehier vorgestelltenMethodenrichtig sind funktionierensichersind oder tatsaumlchlichkeineunnoumltigenVerbindungenaufgebautwerden
DerLesersoll aberfuumlr eineinfachesSystemin die Lageversetztwerdengenaudiesin denGriff zubekommen-)
16 Feedback
Erwuumlnscht
PerE-Mail an i4lklausfrankende
17 Copyright
DiesesDokumentist urheberrechtlichgeschuumltztDasCopyright liegt beiKlausFranken
DasDokumentdarf gemaumlszligder GNU General PublicLicenseverbreitetwerden InsbesonderebedeutetdiesesdaszligderText sowohl uumlberelektronischewie auchphysikalischeMedienohnedie Zahlungvon Lizenzgebuumlhrenverbreitetwerdendarf solangedieserCopyright Hinweis nicht entferntwird Eine kommerzielleVerbreitungist erlaubtundausdruumlcklicherwuumlnschtBei einerPublikationin Papierformist dasDeutscheLinux HOWTO Projekthieruumlberzuinformieren
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
INHAL TSVERZEICHNIS 3
9 Dial-On-Demandkontrollieren 37
91 Verbindungenuumlberwachen 37
92 GrundderVerbindungfeststellen 37
93 Verbindungenauswerten 38
94 Dial-On-Demandan-undausstellen 38
95 Tips im SuSESystem 38
96 Wie erlaubeich normalenBenutzernDial-In-Demandzuaktivieren 39
10 Konfiguration der Inter net-Dienste 40
101 DNS-Cache 40
102 Squid 41
1021 Startenvon Squid 41
1022 Clientsanpassen 41
103 Fetchmail 42
104 Sendmail 42
105 News 43
1051 slrn installierenundkonfigurieren 44
1052 Leafnodeinstallierenundkonfigurieren 45
106 Firewall 46
1061 Wasist einPaketfilter 46
1062 Wie gibt maneineFirewall-Regelan 47
1063 Wasfuumlr Regelnbraucheich mindestens 47
1064 Ein einfacherFirewall 48
107 Masquerading 48
108 Accounting 49
109 Samba 49
11 Installation 50
111 verwendeteProgrammversionen 50
112 UnterschiedeKernel20und21 50
12 MailinglistenNews 50
121 WelcheMailinglistengibt es 50
122 Wie frageich aufderMailingliste 51
123 Wie helfeich auf derMailingliste 51
13 Links 51
131 WWW undFTP 51
132 lokaleDokumentationen 52
1 Einleitung 4
133 Buumlcher 52
14 Credits 52
15 News 53
151 v1202 September1998 53
1 Einleitung
DasTutoriumwendetsichanISDN-Einsteigerundsolchemit erstenErfahrungendie sichjetzt auchfuumlr die weitereKonfigurationdesGesamt-Systems(zBMailsystemFirewallsetc) interessieren
DasTutoriumwird praxisorientiertdurchgefuumlhrtEswerdennichtalleGrundlagenundFeaturesim DetailbesprochensondernderTeilnehmerhatnachdemTutoriumeinentsprechendkonfiguriertenRechnerbzw dieGrundlagendazu
Im Tutorium wird die Distribution SuSELinux 52 benutzt AndereDistributionen(DebianRedHat) koumlnnenselbstverstaumlndlichauchbenutztwerdenBei BedarfwerdendienotwendigenScripteinstalliertSiehedazu11(Instal-lation)
In derSuSEDistribution sindzumeinendie notwendigenToolsalsauchKonfigurationsscripteenthaltendie eineabstraktereKonfigurationder ISDN-Verbindungenerlauben Im Tutorium wird jeweils der einfache Weg uumlberdieScripteunddannzur ReferenzdermanuelleWeg beschrieben
11 Voraussetzungen
Der Teilnehmersollte uumlberLinux-Grundkenntnisseverfuumlgen Auf demRechnersollte die Basis-Installationschonerfolgreichdurchgefuumlhrtsein
WeiterhinsollteeineunterstuumltzteISDN-KarteeingebautseinZu empfehlenist zB eineAVM-Fritz classicodereineELSA QS1000Siehe
httpwwwsusedeSupportsdbisdnh tml
fuumlr eineListederunterstuumltztenKarten
12 Wassoll erreicht werden
FolgendeAufgabewird geloumlstEin Linux-Rechnermit ISDN-Kartesoll Internet-Zugangs-Rechner(IZG) werdenDerRechnerwaumlhltsichbeieinemVerbindungswunschautomatischbeimInternet-Service-Provider(ISP)einundstelltdieNetzverbindungtransparenther Benutzeran dieserArbeitsstationhabennur vollstaumlndigenZugriff auf dasInternetundkoumlnnenzBWWW- undFTP-DienstenutzenDasMailsystemwird soeingerichtetdaszligbeimVerbindungsaufbauautomatischdieE-Mailsausgetauschtwerden
Ein eigenesKapitelbehandeltdieAnbindungeineslokalenNetzwerkesmit vollstaumlndigerInternet-Nutzung(Masquer-adingMail WWW FTP-Nutzung)undderbesonderenProbleme
DaessichumeineWaumlhlleitunghandeltwird besonderesAugenmerkdaraufgerichtetdaszligzwarvoller Internetzugangbestehtaberdie Telefonkostenmoumlglichstgeringgehaltenwerden
Um denrotenFadennichtzuverlierenwerdenfolgendeAnnahmengemachtdiefuumlr diemeistenPrivatanwender(aberauchkleineFirmendienureinenprivatenInternet-Zugangnutzen)zutreffen
1 Einleitung 5
ISDN WaumlhlleitungohneTK-Anlage(Euro-ISDN)
Protokoll syncPPPmit dynamischenIP-Nummern
keinProxy-Zwang
Mails koumlnnenuumlberSMTPverschicktundPOP3abgeholtwerden
DieseVoraussetzungentreffen inzwischenauf die meistenPrivat-ZugaumlngezB T-Online oder Personal-EunetundvieleprivateVereinezu
Weiterhinwird auf sicherheitsrelevanteFragenProblememit dynamischenIP-Nummernund denAnschlusseineslokalenNetzwerksandenIZR besprochen
13 Wasmuszlig ich lesenwassoll ich lesen
DerText ist rechtlanggewordendaanvielenStellenauf besondereProblemeeingegangenwird undTips zumTroo-bleshootinggegebenwerdenWerandiesenStellenkeineProblemehatbrauchtsichnatuumlrlichnichtdamitaufzuhalten- esschadetaberauchnicht
Aumlhnlich verhaumlltessichmit einigenGrundlagenzB RoutingoderdasKonfigurierenspeziellerAnwendungenzBMailaustauschDer erfahreneLeserwird hier wenig Neueserfahrenund kann dieseKapitel uumlberlesenSie sindaberdeswegenhier aufgenommenweil dasVerstaumlndnishierfuumlr unabdingbarist undgenauandiesenPunktenoft diemeistenProblemeim Alltag auftauchen
14 Sprache
DerEinfachheitundderbesserenLesbarkeit wegenwerdeich Dich denLeser duzen
15 keineGewaumlhrleistung
Der Text ist nachbestemWissenund GewissengeschriebenDer Autor uumlbernimmtkeineGewaumlhrleistungdaszligdiehier vorgestelltenMethodenrichtig sind funktionierensichersind oder tatsaumlchlichkeineunnoumltigenVerbindungenaufgebautwerden
DerLesersoll aberfuumlr eineinfachesSystemin die Lageversetztwerdengenaudiesin denGriff zubekommen-)
16 Feedback
Erwuumlnscht
PerE-Mail an i4lklausfrankende
17 Copyright
DiesesDokumentist urheberrechtlichgeschuumltztDasCopyright liegt beiKlausFranken
DasDokumentdarf gemaumlszligder GNU General PublicLicenseverbreitetwerden InsbesonderebedeutetdiesesdaszligderText sowohl uumlberelektronischewie auchphysikalischeMedienohnedie Zahlungvon Lizenzgebuumlhrenverbreitetwerdendarf solangedieserCopyright Hinweis nicht entferntwird Eine kommerzielleVerbreitungist erlaubtundausdruumlcklicherwuumlnschtBei einerPublikationin Papierformist dasDeutscheLinux HOWTO Projekthieruumlberzuinformieren
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
1 Einleitung 4
133 Buumlcher 52
14 Credits 52
15 News 53
151 v1202 September1998 53
1 Einleitung
DasTutoriumwendetsichanISDN-Einsteigerundsolchemit erstenErfahrungendie sichjetzt auchfuumlr die weitereKonfigurationdesGesamt-Systems(zBMailsystemFirewallsetc) interessieren
DasTutoriumwird praxisorientiertdurchgefuumlhrtEswerdennichtalleGrundlagenundFeaturesim DetailbesprochensondernderTeilnehmerhatnachdemTutoriumeinentsprechendkonfiguriertenRechnerbzw dieGrundlagendazu
Im Tutorium wird die Distribution SuSELinux 52 benutzt AndereDistributionen(DebianRedHat) koumlnnenselbstverstaumlndlichauchbenutztwerdenBei BedarfwerdendienotwendigenScripteinstalliertSiehedazu11(Instal-lation)
In derSuSEDistribution sindzumeinendie notwendigenToolsalsauchKonfigurationsscripteenthaltendie eineabstraktereKonfigurationder ISDN-Verbindungenerlauben Im Tutorium wird jeweils der einfache Weg uumlberdieScripteunddannzur ReferenzdermanuelleWeg beschrieben
11 Voraussetzungen
Der Teilnehmersollte uumlberLinux-Grundkenntnisseverfuumlgen Auf demRechnersollte die Basis-Installationschonerfolgreichdurchgefuumlhrtsein
WeiterhinsollteeineunterstuumltzteISDN-KarteeingebautseinZu empfehlenist zB eineAVM-Fritz classicodereineELSA QS1000Siehe
httpwwwsusedeSupportsdbisdnh tml
fuumlr eineListederunterstuumltztenKarten
12 Wassoll erreicht werden
FolgendeAufgabewird geloumlstEin Linux-Rechnermit ISDN-Kartesoll Internet-Zugangs-Rechner(IZG) werdenDerRechnerwaumlhltsichbeieinemVerbindungswunschautomatischbeimInternet-Service-Provider(ISP)einundstelltdieNetzverbindungtransparenther Benutzeran dieserArbeitsstationhabennur vollstaumlndigenZugriff auf dasInternetundkoumlnnenzBWWW- undFTP-DienstenutzenDasMailsystemwird soeingerichtetdaszligbeimVerbindungsaufbauautomatischdieE-Mailsausgetauschtwerden
Ein eigenesKapitelbehandeltdieAnbindungeineslokalenNetzwerkesmit vollstaumlndigerInternet-Nutzung(Masquer-adingMail WWW FTP-Nutzung)undderbesonderenProbleme
DaessichumeineWaumlhlleitunghandeltwird besonderesAugenmerkdaraufgerichtetdaszligzwarvoller Internetzugangbestehtaberdie Telefonkostenmoumlglichstgeringgehaltenwerden
Um denrotenFadennichtzuverlierenwerdenfolgendeAnnahmengemachtdiefuumlr diemeistenPrivatanwender(aberauchkleineFirmendienureinenprivatenInternet-Zugangnutzen)zutreffen
1 Einleitung 5
ISDN WaumlhlleitungohneTK-Anlage(Euro-ISDN)
Protokoll syncPPPmit dynamischenIP-Nummern
keinProxy-Zwang
Mails koumlnnenuumlberSMTPverschicktundPOP3abgeholtwerden
DieseVoraussetzungentreffen inzwischenauf die meistenPrivat-ZugaumlngezB T-Online oder Personal-EunetundvieleprivateVereinezu
Weiterhinwird auf sicherheitsrelevanteFragenProblememit dynamischenIP-Nummernund denAnschlusseineslokalenNetzwerksandenIZR besprochen
13 Wasmuszlig ich lesenwassoll ich lesen
DerText ist rechtlanggewordendaanvielenStellenauf besondereProblemeeingegangenwird undTips zumTroo-bleshootinggegebenwerdenWerandiesenStellenkeineProblemehatbrauchtsichnatuumlrlichnichtdamitaufzuhalten- esschadetaberauchnicht
Aumlhnlich verhaumlltessichmit einigenGrundlagenzB RoutingoderdasKonfigurierenspeziellerAnwendungenzBMailaustauschDer erfahreneLeserwird hier wenig Neueserfahrenund kann dieseKapitel uumlberlesenSie sindaberdeswegenhier aufgenommenweil dasVerstaumlndnishierfuumlr unabdingbarist undgenauandiesenPunktenoft diemeistenProblemeim Alltag auftauchen
14 Sprache
DerEinfachheitundderbesserenLesbarkeit wegenwerdeich Dich denLeser duzen
15 keineGewaumlhrleistung
Der Text ist nachbestemWissenund GewissengeschriebenDer Autor uumlbernimmtkeineGewaumlhrleistungdaszligdiehier vorgestelltenMethodenrichtig sind funktionierensichersind oder tatsaumlchlichkeineunnoumltigenVerbindungenaufgebautwerden
DerLesersoll aberfuumlr eineinfachesSystemin die Lageversetztwerdengenaudiesin denGriff zubekommen-)
16 Feedback
Erwuumlnscht
PerE-Mail an i4lklausfrankende
17 Copyright
DiesesDokumentist urheberrechtlichgeschuumltztDasCopyright liegt beiKlausFranken
DasDokumentdarf gemaumlszligder GNU General PublicLicenseverbreitetwerden InsbesonderebedeutetdiesesdaszligderText sowohl uumlberelektronischewie auchphysikalischeMedienohnedie Zahlungvon Lizenzgebuumlhrenverbreitetwerdendarf solangedieserCopyright Hinweis nicht entferntwird Eine kommerzielleVerbreitungist erlaubtundausdruumlcklicherwuumlnschtBei einerPublikationin Papierformist dasDeutscheLinux HOWTO Projekthieruumlberzuinformieren
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
1 Einleitung 5
ISDN WaumlhlleitungohneTK-Anlage(Euro-ISDN)
Protokoll syncPPPmit dynamischenIP-Nummern
keinProxy-Zwang
Mails koumlnnenuumlberSMTPverschicktundPOP3abgeholtwerden
DieseVoraussetzungentreffen inzwischenauf die meistenPrivat-ZugaumlngezB T-Online oder Personal-EunetundvieleprivateVereinezu
Weiterhinwird auf sicherheitsrelevanteFragenProblememit dynamischenIP-Nummernund denAnschlusseineslokalenNetzwerksandenIZR besprochen
13 Wasmuszlig ich lesenwassoll ich lesen
DerText ist rechtlanggewordendaanvielenStellenauf besondereProblemeeingegangenwird undTips zumTroo-bleshootinggegebenwerdenWerandiesenStellenkeineProblemehatbrauchtsichnatuumlrlichnichtdamitaufzuhalten- esschadetaberauchnicht
Aumlhnlich verhaumlltessichmit einigenGrundlagenzB RoutingoderdasKonfigurierenspeziellerAnwendungenzBMailaustauschDer erfahreneLeserwird hier wenig Neueserfahrenund kann dieseKapitel uumlberlesenSie sindaberdeswegenhier aufgenommenweil dasVerstaumlndnishierfuumlr unabdingbarist undgenauandiesenPunktenoft diemeistenProblemeim Alltag auftauchen
14 Sprache
DerEinfachheitundderbesserenLesbarkeit wegenwerdeich Dich denLeser duzen
15 keineGewaumlhrleistung
Der Text ist nachbestemWissenund GewissengeschriebenDer Autor uumlbernimmtkeineGewaumlhrleistungdaszligdiehier vorgestelltenMethodenrichtig sind funktionierensichersind oder tatsaumlchlichkeineunnoumltigenVerbindungenaufgebautwerden
DerLesersoll aberfuumlr eineinfachesSystemin die Lageversetztwerdengenaudiesin denGriff zubekommen-)
16 Feedback
Erwuumlnscht
PerE-Mail an i4lklausfrankende
17 Copyright
DiesesDokumentist urheberrechtlichgeschuumltztDasCopyright liegt beiKlausFranken
DasDokumentdarf gemaumlszligder GNU General PublicLicenseverbreitetwerden InsbesonderebedeutetdiesesdaszligderText sowohl uumlberelektronischewie auchphysikalischeMedienohnedie Zahlungvon Lizenzgebuumlhrenverbreitetwerdendarf solangedieserCopyright Hinweis nicht entferntwird Eine kommerzielleVerbreitungist erlaubtundausdruumlcklicherwuumlnschtBei einerPublikationin Papierformist dasDeutscheLinux HOWTO Projekthieruumlberzuinformieren
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
2 Grundlagen 6
2 Grundlagen
Ich kennemich mit Linux einwenigausIch kannmich vielleichtschonmit meinemModeminrsquos Interneteinwaumlhlen
Ich habejetzt ISDN - undfindemich uumlberhauptnicht mehrzurechtWarumeigentlich
21 ISDN4Linux Modem oder Netzwerk
VergiszligalleswasDu uumlberModemsweiszligt
Bei ISDN ist allesanders
1 Esklickt undpfeift nicht
2 EsblinkenkeineLaumlmpchen
3 DerVerbindungsaufbaugehtsoschnelldaszligmaninnerhalbvonStundeneinMonatsgehaltloswerdenkann
4 EsmachtmehrSpaszlig
Die Konzepteunterscheidensich
1 Die Art derHardwareanbindung
2 Die Art derNutzung
3 Die Art derKontrollmoumlglichkeiten
4 Die Art derKonfiguration
Bei ISDN4Linuxwird die ISDN-KartealsNetzwerkkartebetrachtetnur mit besonderenEigenschaften
22 Uumlberblick uumlber die Features
schnelleISDN-Verbindungen
volle IntegrationalsNetzwerk
ClientundServer
syncPPP
Modememulation(Befehlssatz)
Dial-On-Demand(DoD)
volle UumlbersichtundKontrolle
Callback
Kanalbuumlndelung
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 7
23 Uumlberblick uumlber die fehlendenFeatures
serielleAnbindung(zB Fax)
CAPI Schnittstelle(zBuumlberNetz)
einheitlicheUmgebung
PmX-Karten
24 Uumlberblick uumlber die Tools
isdnlog
Derisdnloghorcht staumlndigim HintergrundaufdemS0-Busundprotokolliert ein-undausgehendeVerbindungenzurspaumlterenAuswertung(inkl Gebuumlhren)undzurDiagnose
isdnctrl
StelltwichtigeI4l-spezifischeParameter(zBTelefonnummern)ein
HiSax
DerTreiber(alsModul oderfestim Kernel)fuumlr fastallepassivenISDN-Karten
hisaxctrl
KontrolliertdenHiSax-Treiber
ipppd
DerPPP-Daumlmonfuumlr ISDN (syncPPP)
messages
In varlogmessages (bzw via Syslog)werdendieISDN-Aktionenprotokolliert - wichtig zurDiagnose
ttyI
Uumlber die Terminal-DevicesdevttyI0 bis devttyI64 kannmit normalenTerminalprogrammenaufISDN zugegriffenwerden- AchtungkeinanalogerZugriff
vbox
DerAnrufbeantworterfuumlr ISDN
3 Hardware-Modul laden
Die Treiberfuumlr die HardwarewerdendurchModulebereitgestelltMan koumlnntedie notwendigenTreiberauchdirektin denKernelladenaberdavon ist abzuraten
FuumlrdasI4L-Subsystemist dasModul isdn zustaumlndigdas(je nachCompilierung)nochslhc benoumltigt
DieseModulesind fuumlr deneigentlichenHardwaretreiberVoraussetzungundmuumlssenvorhergeladensein WenndieModuleuumlberdasTool modprobe laumldt brauchtmansichdarumabernicht zu kuumlmmernda dadurchdie Abhaumlngig-keitenselbststaumlndiggepruumlftwerden
Merke Benutzenurmodprobe zumLadenderModule
JenachverwendeterHardwaresind unterschiedlicheModule notwendig Fuumlr passive ISDN-Kartenist dasModulHiSax notwendigFuumlraktiveKartenwerdenherstellerspezifischeModulebenoumltigt
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 8
31 isdnlog konfigurieren
Der isdnloghorchtstaumlndigaufdemD-Kanalundliefert unssowohl zurDiagnosealsauchzur spaumlterzurAuswertungwichtigeDatenDer isdnlogwird kurznachdemLadendesHiSax-Treibersgestartet(beiaktivenKartensieheunten)
Wir gehenspaumlterauf die FunktionenunddenStartdesisdnlogeinhier nur kurz die wichtigstenPunktezur Konfigu-ration
etcisdnisdnconf Es werdeneinigeDatenuumlberdie Umgebungmitgeteilt zB denAreacode(Vor-wahl)deni4l nicht automatischermittelnkann
Passein demBspzumindestdenAreacodean
exapmle of etcisdnisdnconf
copy this file to etcisdnisdnconf and edit
More information usrdocpackagesi4lisdnlogREADME
[GLOBAL]
COUNTRYPREFIX = +
COUNTRYCODE = 49
AREAPREFIX = 0
EDIT THIS LINE
AREACODE = 911
Example
AREACODE = 911 Nuernberg
[VARIABLES]
[ISDNLOG]
LOGFILE = varlogisdnlog
ILABEL = b e T ICall to tei t from N2 on n2
OLABEL = b e T Itei t calling N2 with n2
REPFMTWWW= X D 1717H T -1717F -2020l SI S 9u U I O
REPFMTSHORT = XD88H T -1414FUI O
REPFMT = X D 1515H T -1515F 7u U I O
Optionenfuumlr isdnlogisdnlogvertraumlgteineMengeOptionendiemanentwederalsKommandozeilenparameteroderuumlbereineKonfigdateimitgebenkann
Bei SuSEwird die Datei etcisdnisdnlogisdnctrl0options verwendet(0 ersteKarte2zweiteKarte 4 dritte Karte) und beim Startdesisdnlogmit demParameter-f uumlbergebenDieseDatei istkommentiertundenthaumlltdiewichtigstenParameter
Mehr Infos gibt esin derREADME-Dateizu isdnlogdie in demQuellpaket dabeiist bei SuSEauchunterusrdocpackagesi4lisdnlogREA DMEeingepackt
Von Handsollteisdnlogmit mindestensfolgendenOptiongestartetwerden
isdnlog -D -l1015 -x4087 -M -n -W80 devisdnctrl0 amp
Telefonbuch(optional) isdnlogkanndie ein- und ausgehendenNummernautomatischeinemAliasnamenzu-weisenderstattderTelefonnummerangezeigtwird DieseDatenstehenin etcisdncalleridconf Beispiel
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 9
[NUMBER]
NUMBER= +4991152145922
ALIAS = Eunet-N
ZONE = 1
DaruumlberlassensichauchweitereAktionendefinierenzB StarteneinesbestimmtenProgrammesbeimRing
32 PlugampPlay-Karten
PnP-Kartenmuumlssenim 20erKernelnochmanuellkonfiguriertwerdenDasist etwasmuumlhsammuszligaberzumGluumlcknureinmalgemachtwerden
Zum KonfigurierenunterLinux dientdasPaket isapnp Daszwei Programmebietet
1 pnpdumpscanntdenISA-BusnachKartenunderstellteineVorlagefuumlr dieKonfigurationsdatei
2 isapnpinitialisiert diePnP-KartenentsprechendderKonfigurationsdatei
Erstnachdemdie Karte(n)hiermit konfiguriertwurde(n)kanndurchTreiberauf die Hardwarezugegriffen werdenPnP-KartenkoumlnnenalsonurdurchModul - nichtdurchTreiberim Kernel- benutztwerden
Zuerstscannenwir nachPnP-KartenaberVorsicht pnpdump kann den Rechnerzum Stillstand bringen StartedasProgrammnichtunterX undmoumlglichstnur im Single-User-Mode
Die Ausgabevon pnpdump leitenwir gleichin dieKonfigurationsdateium
pnpdump gt etcisapnpconf
Hier einBeispielfuumlr eineElsaQS3000
This is free software see the sources for details
This software has NO WARRANTYuse at your OWNRISK
For details of this file format see isapnpconf(5)
For latest information on isapnp and pnpdump see
httpwwwroestockdemoncoukisapnpto ols
Compiler flags -DREALTIME -DNEEDSETSCHEDULER
Trying port address 0203
Board 1 has serial identifier e5 00 00 00 00 34 01 93 15
(DEBUG)
(READPORT0x0203)
(ISOLATE)
(IDENTIFY )
Card 1 (serial identifier e5 00 00 00 00 34 01 93 15)
ELS0134 Serial No 0 [checksum e5]
Version 10 Vendor version 00
ANSI string --gtELSA QuickStep 3000lt--
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 10
Logical device id ELS0134
Edit the entries below to uncomment out the configuration required
Note that only the first value of any range is given this may be changed if r
equired
Donrsquot forget to uncomment the activate (ACT Y) when happy
(CONFIGURE ELS01340 (LD 0
Multiple choice time choose one only
Start dependent functions priority acceptable
Logical device decodes 16 bit IO address lines
Minimum IO base address 0x0160
Maximum IO base address 0x0360
IO base alignment 16 bytes
Number of IO addresses required 16
(IO 0 (BASE 0x0160))
IRQ 3 4 5 7 10 11 12 or 15
High true edge sensitive interrupt (by default)
(INT 0 (IRQ 3 (MODE +E)))
End dependent functions
(ACT Y)
))
End tag Checksum 0x00 (OK)
Returns all cards to the Wait for Key state
(WAITFORKEY)
AnhandderausgegebenenIdentifier kannmanerkennenwelcheKartenerkanntwurden(undob esuumlberhauptPnP-Kartengibt)
DieseDateiwird editiertdieKommentarzeichenmuumlssenentferntwerdenundggf passendeWerteeingesetztwerdenIn denKommentarenwerdenguumlltigeWerteangegeben
(IO 0 (BASE 0x0160))
(INT 0 (IRQ 3 (MODE +E)))
(ACT Y)
ManbeachteAuch (ACT Y) muszlig gesetztwerden Ansonstenpassiertgarnichts
DieseKonfigurationkannnunauf diePnP-Karteheruntergeladenwerden
isapnp etcisapnpconf
Board 1 has Identity e5 00 00 00 00 34 01 93 15 ELS0134 Serial No 0 [checks-
um e5]
Die Ausgabeist leidernicht sehraufschluszligreichabermansolltezumindestdenIdentifierderKarteerkennen
Bei SuSEwird dasisapnp Kommandoautomatischin denInit-ScriptenausgefuumlhrtAnsonstenmuszligmanselbstfuumlr diesenAufruf sorgen
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 11
33 HiSax-Treiber laden
DemHiSax-Treiberwird durchParameterbeimLadenmitgeteiltnachwelcherKarte(oderauchKarten)anwelchenAdressenzusuchenist
331 Laden mit YaST
Bei SuSEkann die Konfigurationder ISDN-Hardware mittels YaST in der Maske Administration des
Systems Hardware in System integrieren ISDN-Hardware konfigurieren vorgenommenwerden Nebender Auswahl der Karte und setzender Parameterkannhier auchsofort dasModul geladenwerdendurchStarten Bei ProblemenkannmansofortandereWerteprobierenBei Erfolg werdendie ParametermittelsSpeichern in rcconfig abgelegt sodaszligdieModulebeimnaumlchstenSystemstartwiedergeladenwerden
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSaX
beschrieben
332 Laden uumlber etcrcconfig
Die ISDN-Hardwarekanndirekt in deretcrcconfig eingetragenundoderkontrolliertwerdenDie VariablensindkommentiertHier ein Beispielfuumlr eineElsaQS-3000
start i4l (yes or no)
see usrdocpackagesi4lREADMESuSE
I4L_START=yes
driver-id for HiSax-driver
set to HiSax
or whatever you defined when loading driver within kernel
set to if you donrsquot have a hisax-card
I4L_TELES_ID=hisax1
D-channel protocol 1=1TR6 2=EDSS1(Euro-ISDN) for HiSax
I4L_PROTOCOL=2
Type ISDN-card Required parameters
---- --------------------- -------------------------------------- -----
1 Teles 160 irq mem io
2 Teles 80 irq mem
3 Teles 163 (non PnP) irq io
4 CreatixTeles PnP irq io0 (ISAC) io1 (HSCX)
5 AVM A1 (Fritz) irq io
6 ELSA PCCPCF cards io or nothing for autodetect (the iobase is
only required if you have more than one ELSA
card in your PC)
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 12
7 ELSA Quickstep 1000 irq io (from isapnp setup)
8 Teles 163 PCMCIA irq io
9 ITK ix1-micro Rev2 irq io
since HiSax 25
10 ELSA PCMCIA irq io (set with card manager)
11 EiconDiehl Diva ISA PnP irq io
11 EiconDiehl Diva PCI no parameter
12 ASUS COMISDNLink irq io (from isapnp setup)
13 HFC-2BS0 based cards irq io
15 Sedlbauer Speed Card irq io
(= Teledat 100)
16 USR Sportster internal irq io
17 MIC card irq io
18 ELSA Quickstep 1000PCI no parameter
I4L_TELES_TYPE=7
IRQ of Teles Card
eg 12 or 15 when loading as module
set to when driver is loaded within kernel
I4L_TELES_IRQ=3
Portaddress of Teles card (eg 0xd80 0 for S08)
I4L_TELES_PORT=0x0160
DerStringTELEShathier nurhistorischeGruumlnde
Mit diesenAngabenwird die Parameterzeilefuumlr den HiSax selbstaumlndiggeneriert Zusaumltzlichkann man auchdieParameterzeilekomplettselbstvorgebenwaszB bei neuenKartennotwendigist oderwennmanmehrereKartenanbindenwill (su)
Beispielfuumlr eineAVM-Fritz undeineELSA PCFKarte
I4L_TELES_MODUL_OPTIONS=type=56 protocol=22 io=0x340 irq=10 id=FritzElsa
Zum LadenderModulebenutztmandannInit-Script
glenroot sbininitdi4l_hardware start
Loading ISDN drivers
Loading HiSax driver
sbininsmod libmodules2033mischisaxo id=hisax1 type=7 proto-
col=2 irq=3 io=0x0160
Verbose-level set to 3
Starting isdnlog with etcisdnisdnlogisdnctrl0options for isdnctrl0
Manbeachtedaszlighiermitautomatischder isdnlog gestartetwird
Zum EntladenbenutzemandasselbeScript
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 13
glenroot sbininitdi4l_hardware stop
Unloading ISDN drivers
333 Laden von Hand
Die Syntaxist in
usrsrclinuxDocumentationisdnREA DMEHiSax
beschrieben
FuumlreineELSA-QS3000gebemanzB ein
modprobe -v hisax id=hisax1 type=7 protocol=2 irq=3 io=0x0160
WeiterhinsolltennachdemerfolgreichenLadenfolgendeKommandosausgefuumlhrtwerden
sbinhisaxctrl hisax1 1 4
sbinisdnctrl verbose 3
sbinisdnlog devisdnctrl0
ErklaumlrtwerdendieseKommandosin denentsprechendenman-pagesundmitgelieferterDokumit demSuSEScriptsist eshalt einfacher-)
334 Troubleshooting
WaumlhrenddesLadensdesHisax-Modulsbekommtmanim Fehlerfall auf derKonsolekeineaussagekraumlftigenMeldun-gensondernmeistnur Device or resource busy Die echtenFehlermeldungenwerdenvia Syslog(zumeist)in varlogmessages gespeichert
Beispielfuumlr einenMiszligerfolgbeimLadeneinerAVM-Fritz
Feb 6 224505 glen kernel HiSax Driver for Siemens chip set ISDN cards
Feb 6 224505 glen kernel HiSax Version 21
Feb 6 224505 glen kernel HiSax Revisions 11511011013018
Feb 6 224505 glen kernel HiSax Total 1 card defined
Feb 6 224505 glen kernel HiSax Card 1 Protocol EDSS1 Id=HiSax (0)
Feb 6 224505 glen kernel HiSax AVM driver Rev 16
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b03 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b02 is ff
Feb 6 224505 glen kernel AVM A1 Byte at 1b00 is ff
Feb 6 224505 glen kernel HiSax AVM A1 config irq12 cfg1b00
Feb 6 224505 glen kernel HiSax isac17001300
Feb 6 224505 glen kernel HiSax hscx A700300 hscx Bf00b00
Feb 6 224505 glen kernel AVM A1 HSCX version A B
Feb 6 224505 glen kernel AVM A1 ISAC 2085 V23
Feb 6 224505 glen kernel AVM A1 wrong HSCX versions check IO address
Feb 6 224505 glen kernel HiSax Card AVM A1 not installed
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
3 Hardware-Modul laden 14
Hier wurdeanderangegebenenPortadressekeineFritz-Kartegefunden(Eswar auchkeinevorhanden-) AnhanddieserMeldungensolltemanleicht erkennenkoumlnnenwasdiegenaueUrsacheist WeiterehaumlufigeFehlersind
1 could not get interrupt mit demangegebenenIRQ kannnicht gearbeitetwerdenProbiereeinfacheinenanderenNicht belegteIRQ kannmandurchcat procinterrupts ermitteln
2 Portadressewird nicht erkanntobwohl allesrichtig scheint Es ist einePnP-KarteisapnpwurdevergessenSiehe32(PlugampPlay-Karten)
3 Portadressewird nicht erkanntobwohl allesrichtig scheintesist eineTeleskartemankannalsonicht wissenum welchenTyp esist wirklich handeltAbhilfe neuestenHiSax besorgenundallesausprobierenSiehe11(Installation)
Bei hartnaumlckigemMiszligerfolg wendeDich an einengutenBekanntenoderan die Mailingliste UnbedingtdenAus-schnittausvarlogmessages angeben
34 Hardware testen
DerbesteundeinfachsteTestist sichselberanzurufen
Es spielt hierbeikeineRolle ob manISDN-Daten-oderVoice-Callob von eineminternenoderexternenAnalog-oder ISDN-Telefon anruft Es wird auchkeine Verbindungzu Standekommen Wichtig ist nur daszligman untervarlogmessages eineMeldunguumlberdenAnruf erkennt
Beispielfuumlr einenAnalog-Callauf derMSN 123459
Apr 6 221520 glen kernel isdn_net call from 91112345810 -gt 123459
Apr 6 221520 glen kernel isdn_net Service-Indicator not 7 ignored
Bei diesemBeispielhandeltessichum ein Voice-Call(Service-Indicator0) von einemAnschluszligmit Rufnummer-uumlbermittlungvon der MSN 123458ausdemOrtsnetz0911an die eigeneMSN 123459 (Nein dasist nicht meineechteNummer-)
Wichtig ist vor allemhier die AngabederZielrufnummerhinterdemPfeil hier 123459Man solltehier alle eigenenNummerndurchprobierenSowie esdort angegebenist ist auchspaumlterdieeigeneMSN zusetzen
35 Uumlbung Hardwareansprechen
Ziel Die ISDN-Kartesoll angesprochenundgepruumlftwerden
1 WelcheHardware Umgebunghabich NotiereDir
(a) WelcheKartehabich (Hersteller Typ etc)
(b) Wie ist dieKartegejumpert(Port)
(c) Mit welchenWertenkanndieKarteunteranderenSystemangesprochenwerden
(d) WelchesProtokoll wird auf demS0-Busbenutzt(1TR6DSS1)
(e) Wo ist die ISDN-Karteangeschlossen(NTBA TK-Anlage)
(f) WelcheMSNrsquoskannich auf diesemS0-Busbenutzen
SchlimmstenfallsmuszligtDu DeinenRechneraufschraubendasfalscheBetriebssystembootenundoderdenAd-ministratornerven
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 15
2 BetrachtemessagesNur in varlogmessages stehtdie Wahrheitsieist fuumlr die gesamteKonfigurations-arbeit(undspaumlter)zuverfolgen
Oumlffne (mindestens)zwei Konsolen(virtuelleLinux-KonsoleoderunterX zwei xterm )
Auf einerKonsolestarteentweder
tail -f varlogmessages less varlogmessages im ProgrammdannF (follow) druumlckenum immerdie neuestenZeilen
zubekommen(DiesenModusbeendetmandurchCtrl-C beendenvon lessmit q
3 PnPKarteFallseseinePlugampPray-Karteist konfigurieresiewennDu esnichtweiszligtstartepnpdump Siehe32(PlugampPlay-Karten)
4 Modul ladenLadedasentsprechendeModul nachDeinerbevorzugtenMethode(alsoYaST-)
Stellesicher daszligdie Einstellungennotiert sind undbeimSystemstartautomatischdasModul wiedergeladenwird
Pruumlfeob dasModul geladenist mit lsmod
Pruumlfeob der isdnlog laumluft mit ps axgrep isdnlog
Pruumlfeob varlogmessages normalaussieht
Siehe33(HiSax-Treiberladen)
5 ISDN testenRufeDich selbstanundnotierealle MSN unterdenenDu angerufenwerdenkannst
Siehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle
Ein Rundumschlaguumlberdie wichtigstenBegriffe undKonzeptedie manwissenmuszligum ISDN unterLinux richtigzunutzen
41 ISDN
ISDN stehtfuumlr Integrated ServicesDigital Network
Fangenwir von hintenan Eshandeltsichum ein Netzwerk Uumlberdie beidenKupferdraumlhtewird alsozB nicht nureinePoint-To-PointVerbindungaufgebautsonderneskoumlnnenmehrereVerbindungengleichzeitigbestehen
Die Datenwerdenalledigital ausgetauschtAnalogdienstewie zB FaxsindhieruumlberdaherpotentiellschwierigerzuhandelnNormalerweisewerdenAnalogdiensteuumlberSpezialgeraumltewie ab-WandleroderTK-Anlagengefahren
Integrated ServicesdeutetandaszligverschiedeneDiensteuumlberdiesesNetzwerkbehandeltwerdenkoumlnnenTypischeServicessindAnalog-Sprache(SI=0)oderISDN-Daten (SI=7)wasunshier interessiert
Der EndpunktderTelekom-Leitungist derNTBA (kurz auchNT) derNetwork Terminator Basis-Anschluszlig Dasist derkleinegraueKastenandemfuumlr dieTelekom dasNetzwerkaufhoumlrt
An einemNTBA koumlnnen(normalerweise)2 Kabel herausgefuumlhrtwerdendiesebilden gemeinsamein Bus-SystemdensogenanntenS0-Bus
An denS0-Buskoumlnnen8 EndgeraumlteangeschlossenwerdenTypischeEndgeraumltesind ISDN-TelefoneTK-AnlagenG4-Fax-GeraumlteISDN-TerminaladapterundISDN-Karten
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 16
DerS0-Busbietet3 KanaumlleeinSteuerkanalgenanntD-Kanal (warumderD-Kanalgenanntwird ist mir unbekanntdie Eselsbruumlcke D=Datenklappt zumindestnicht) Weiterhinstehenzwei DatenkanaumllegenanntNutzkanal oderB-Kanal (dakoumlnnenwir unsereBytesruumlberschicken) mit jeweils64kbitszurVerfuumlgungdiejeweilszuunterschiedlichePartnerundmit unterschiedlichenDienstengenutztwerdenkoumlnnen
Auf demD-KanalkoumlnnenverschiedeneProtokolle gefahrenwerdenUumlblich sind1TR6 (altesnationalesISDN)DSS1(Euro-ISDN derQuasi-Standardin 24 Laumlndern)undN1 in denUSA Der D-Kanaldientua zur UumlbermittlungdesWunscheseinesVerbindungsauf-undabbausderUumlbermittlungderTelefonnummernundderGebuumlhrenBei einemfalscheingestelltenProtokoll klapptalsosehrwenig
Die Art undWeisewie die Telefonnummergemeldetundgenanntwird haumlngtvom D-Kanal-Protokoll ab
1TR1EAZ (Endgeraumlte-Auswahl-Ziffer) Eshandeltsichalsonurum eineZif fer dieRufnummerdesBasisan-schlusseswird nicht betrachtet
DSS1MSN (Multiple-Subscribe-Number)Hier ist einekompletteRufnummergemeintalsoalleshinterderVorwahl
Die BezeichnungenEAZ undMSN sindbei I4L ansonstensynonym zu benutzen(wenndasrichtigeProtokoll ange-gebenwurde)Bei einemeinkommendenCall wird (hoffentlich)dieZielrufnummeruumlbertragengenanntCPN (calledpartynumber)Ist sienicht bekanntsetztsieI4L auf0
Bekanntlichkoumlnnenfuumlr einenAnschluszligmehrereTelefonnummernvergebenwerdenDiesesignalisiertdie Vermitt-lungsstelle(kurz VSt) auf demD-Kanal(CPN)zusammenmit demService-Indikator (SI) Mehr passiertbei einemankommendenCall erstmal nicht Es ist danachAufgabederEndgeraumltesichentsprechendzu verhaltenignorierenabweisenoderdenCall annehmen
Da der SI zusammenmit der Nummerauf demD-Kanal uumlbermitteltwird kanndieselbeTelefonnummermehrfachgenutztwerdenBeispieldasTelefonreagiertnurauf SI=0derPCreagiertnurauf SI=7
Bei einemausgehendenCall muszligdasEndgeraumltedie MSN angebendiesewird dannauchdemPartneruumlbermitteltWird keine MSN gesetzt(was I4L nicht zulaumlszligt)setztdie VSt die Nummerein wird eine falscheMSN gesetztbekommtmankeineVerbindung(Erfahrungswerte)
Mehr zu ISDN-Grundlagenfindetsichauf
httpwwwdtagdeangebotisdnlexik onri ghtht m
42 TK-Anlagen
Worum gehtesWerdieWahlhatzwischeneinemdirektenAnschluszligamNTBA undeineminternenS0-BusaneinerTK-Anlage sollte sich fuumlr dendirektenAnschluszligentscheidenDer BetriebuumlberTK-Anlagenbirgt immer gewisseUumlberraschungen
Worum gehtesnicht WennmaneineTK-AnlageamselbenNTBA (S0Bus)wie dieISDN-Karteangeschlossenhatgibt eskeineProblemeDie TK-Anlageist hier nureinnormalesISDN-Endgeraumltwasdieseshintenmacht(Anschluszligvon Analog-Geraumlten)spielthierkeineRolle
DasVerhaltenderTK-Anlagehaumlngtunteranderemvom Typ von der installiertenSoftwareundvor allemvon derenKonfiguration(unddamitvom entsprechendenService-Techniker)ab
Bei aumllterenAnlagenwird oft entgegenallenAussagen1TR6anstattDSS1gefahrenDie Verbindungstypenkoumlnnenabhaumlngigvom Service-Indikatorkonfiguriertwerdenwobeioft nur Voice-Callskonfiguriertsind WeiterhinbestehtdieSchwierigkeit herauszufindenwelcheMSNEAZ manzubenutzenhat
Bevor mansichauf andereverlaumlszligtsolltemandenPraxistestSelbstanrufmachensiehe34(Hardwaretesten)
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
4 Grundlagen ISDN Parameter zur Verbindungskontrolle 17
Ein wesentlicherUnterschiedist der daszligmannichtmit allenanderenlokalenTeilnehmernaneinemBusangeschlos-senist sonderndie TK-Anlage fuumlr jedeneinzelnenAnschluszligeineneigenenS0-Busnachauszligenfuumlhrt an denmeistnurein Endgeraumltangeschlossenwird DieserAnschluszligbekommteineeigeneDurchwahlzugewiesenoft 2-stellig
Die besteVeranschaulichungist diedaszligmansichseineTK-AnlagealseineeigeneVst vorstellt
Beispiel In Ortsnetz321 ist eineTK-Anlage mit der Rufnummer654 an einemPrimaumlrmultiplex-Anlagenanschluszliginstalliert (esgibt alsomehrals 2 Amtsleitungenalternativ koumlnntediesauchein Buumlndelanschluszligsein - spielt ausdieserSichtkeineRolle) Essind20 interneLeitungenvorhandenwobeidie ersten10 fuumlr Telefoneunddie zweiten10 fuumlr ISDN-Kartenvorgesehensind Die Durchwahlnummernseien10-19fuumlr die Telefonund20-29fuumlr die ISDN-KartenDie S0-Bussefuumlr die ISDN-KartenseienaufDSS1konfiguriert
Dannist alsMSN jeweils 20 bis 29 zu benutzendenndassinddie MSNrsquos im OrtsnetzFirma (=321654)Weiterhinist zu beachtendaszligmanzusaumltzlicheine0 waumlhlenmuszligum ausdemOrtsnetzFirma erstmalherauszukommenUmzB die Nummer987 im Ortsnetz654 anzurufenmuszligman0987 waumlhlenwobei der Gegenstelleals Rufnummer65420 angezeigtwird Will manin Berlin anrufenwaumlhlt manselbstdie 0030 anunddort wird 32165420
uumlbermittelt
Will manselberUser-Authenticationbeim Dial-In uumlberdie Telefonnummermachengibt esnur einesinnvolle her-angehensweiseanrufenlassenDie in varlogmessages angezeigteNummerdannmittelsCutampPastein dieentsprechendeKonfigurationsdateiuumlbernehmen
43 Wasist meineMSN
Wie obenerwaumlhntmuszligmanbei I4L immerdieMSN setzenumwaumlhlenzukoumlnnendieAngabederMSN ist wichtigdaansonstenmeistnichtsfunktioniert
Die ersteFrageist dabeiimmer obmandirekt amNTBA oderaneinerTK-Anlageangeschlossenist
AnschluszliganNTBA Man kannsicheineder3 odermehrzugewiesenenMSNrsquos aussuchenDieseMSN wirdder Gegenstelleuumlbermittelt Wird die MSN zur UumlberpruumlfungdesPartnersbenutzt(zB bei rawip) muszligmansichmit derGegenstellenatuumlrlichfestauf eineeinigenAnsonstenhatmandie freie WahlmankanndurchausseinenormaleVoice-Nummerbenutzen
Anschluszligan TK-Anlage Man ist auf die Konfigurationder TK-AnlageangewiesenDie einfachsteMethodeist derSelbsttestsiehe34(Hardwaretesten)
44 Problemebeim Verbindungsaufbaudie CauseMeldungen
DasProtokoll auf demD-KanalerlaubtesMeldungenzu verschickendie uumlberdenGrundbei einemVerbindungsab-bruchundnicht erfolgreichemVerbindungsaufbauinformieren
Die Meldungenwerdenin varlogmessages vomi4l-Subsystemalssogenanntecause -Meldungenweiterge-geben
Die Art derMeldunghaumlngtvom verwendetenProtokoll ab(1TR6oderDSS1)beiDSS1wird ein E (fuumlr Euro-ISDN)vorangestelltdahinterfolgenvier (Hex-)Zif fern Die erstenbeidengebenAuskunftdaruumlber wo dieseMeldunggene-riert wurde(bei welcherVSt) die letztenbeidenZif ferngebendeneigentlichenGrundan
Der isdnloguumlbersetztunsfreundlicherweisedie Meldungenin Klartext wenndernicht laumluft (zB bei aktivenISDN-Karten)kannmandieMeldungenmittelsman isdn_cause aufloumlsen
Nicht alle Meldungenmuumlssendramatisch seinundmuumlssenauf einenFehlerhinweisen
Beispiele
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 18
kernel isdn hisax1ch0 cause E0010
kernel ippp0 remote hangup
UrsachederGegnerhatnormalaufgelegt vermutlichwegenTimeout
kernel isdn hisax1ch0 cause E0511
isdnlog Mar 19 200032 tei 70 calling Leibnitz with
Kfr User busy (Private network serving remote user)
UrsachedieVSt beimGegnerteilt unsmit daszligdort derAnschluszligbesetztist
kernel isdn hisax1ch0 cause E0022
isdnlog Mar 19 213716 tei 70 calling Klein with +49 911
333 N|rnberg No circuitchannel available (User)
UrsachealleKanaumllesindbelegt
kernel isdn0 dialing 1 1111111111
isdnlog Apr 13 150518 tei 84 calling +49 911111111111
N|rnberg with Kfr RING (Data)
kernel isdn hisax1ch0 cause E0201
isdnlog Apr 13 150519 tei 127 calling with Unallocated
(unassigned) number (Public network serving local user)
UrsachedieZielrufnummerist nicht zugewiesen
5 syncPPPVerbindung herstellen
Point-to-PointProtocol(PPP)ist ua in den RFCs1661 1662 1332 and 1334 definiert Es wurde urspruumlnglichentwickeltumDatenuumlberserielleLeitungenzuverschickenEsbietetgrundsaumltzlichauchweitereNetzwerkprotokolle(Apple IPX ) unterLinux ist abernur IP vorgesehenPPPbietetverschiedeneFeatureswie zBdenAustauschderIP-NummernAuthenticationCompressionsetc
AusdiesemGrundfindetzunaumlchstdurchdasLink ControlProtocol(LCP) einHandshakestattdurchdendieVerbin-dunginitialisiert wird (oderauchnicht) In derPraxisergebensichgenauhierdurchdieProblemegemaumlszligderRichtliniedasschoumlnean Standardsist daszligsich jederseineneigenenaussuchenkann
51 Unterschiedeanalog- ISDN
Wer analogesPPPgewoumlhnt ist muszlighier ein umdenken Bei ISDN drehtsichallesum Die Netzverbindungbestehtlogischimmer gewaumlhltwird abernurbeiBedarf
511 Analog
manuellesStarteneinesScriptesoderuumlberdiald
waumlhlenzBmit rsquochatrsquo
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 19
pppdfaumlhrt hochundmachtHandshakemit Partner
ifconfig undrouteAufrufe durchpppd
Optionsfileetcpppoptions
liestautomatischetcpppoptionsDEVICE (DEVICE ist dasaktuellverwendeteserielleDevice)
512 ISDN
Netzwird konfiguriertdiverseisdnctrlundein ifconfig Aufruf
SetzenderRoute
startenipppd
Verbindungswunsch- i4l waumlhlt selbstaumlndigNummern(isdnctrl)
ipppdwird aktiviert (er laumluft dieganzeZeit)
ipppdmachtHandshake
Bei dynamischenIP-Nummernlegt deripppddasDeviceneuanundstartetetcpppip-up
Beim(automatischenAbbau)machtderipppdeinReconnectaufdasDevicebeianalogbeendetersich
BeimAbbaustartetderipppdetcpppip-down
Optionsfileetcpppioptions
LiestkeinweiteresOptionfileautomatischein
52 Wasist eigentlich synchronesPPP
Der UnterschiedzwischensynchronemundasynchronemPPPist dasFraming alsodasEinpackenderRohdatenfuumlrdiejeweiligeVerbindungsartSyncPPPpacktin HDLC ein Auf einerModemstreckebzw einerseriellenSchnittstellekannmanabernur characterweiseverschickenEntsprechendpacktasyncPPPseinePaumlckchenandersein Esgibt einausgewiesenesByte welchesdenPaketanfangbzw dasEndemarkiert DieseByte musssofernesim DatenstromauftauchtnatuumlrlichandersdargestelltwerdenDafuumlrgibt eseinweiteresreserviertesBytedasEscape-Byte
53 Die Konfiguration
531 Netzdevicesanlegenund konfigurieren
Beispiel
NETDEV=rsquoippp0rsquo
neues Device
isdnctrl addif $NETDEV
setzte MSNEAZ
isdnctrl eaz $NETDEV 456
def Nummer(n) zum rauswaehlen
isdnctrl addphone $NETDEV out 09011
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 20
erlaube Nummern die anrufen duerfen
isdnctrl addphone $NETDEV in
duerfen alle anrufen Nein setze secure=on
isdnctrl secure $NETDEV on
Layer-2 Protokoll (x75i x75ui x75bui hdlc)
isdnctrl l2_prot $NETDEV hdlc
Layer-3 (nur trans)
isdnctrl l3_prot $NETDEV trans
Ecapsulation (rawip cisco_h syncppp)
isdnctrl encap $NETDEV syncppp
Idletime
isdnctrl huptimeout $NETDEV 60
maximale Waehlversuche
isdnctrl dialmax $NETDEV 5
nur einen bestimmten Kanal benutzen
isdnctrl bind $NETDEV
PPP an Netzdevice binden
isdnctrl pppbind $NETDEV 0
Netzdevice konfigurieren
ifconfig $NETDEV 1111 pointopoint 19310215013 up
OPEN-Meldung ausgeben
isdnctrl verbose 3
Geloumlschtwird dasInterfacedurchdieBefehle
ifconfig $NETDEV down
isdnctrl delif $NETDEV
532 ipppd starten
Vor demStartdesipppdmuumlssendreiVoraussetzungenerfuumlllt sein
1 ISDN-Hardwareunterstuumltzung
2 syncPPPUntersuumltzungim Kernel
3 Daszu verwendendeDevicemuszligangelegt sein(isdnctrl addif )
Die syncPPPUnterstuumltzungdesKernelspruumlft der ipppd leideruumlbereineetwasungluumlcklichMethodeab EsmuszligeinDevice ippp0 vorhandenseinAuszligerdemkannmandasDevicenichtbeliebigbenennenesmuszligmit ippp beginnenMerke Benutzeimmer als Devicenameippp0
Der ipppdkannuumlber25Arten Optionenannehmen
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 21
1 Kommandozeilenparameter
2 DasOptionsfileetcpppioptions
Die 25teMethodeist dieAngabeeinesOptionsfilealsKommandozeilenparameter(-file )
In Anlehnungandenpppdempfehleich folgendeStruktur
GlobaleOptionen(fuumlr alle ipppdrsquos) in etcpppioptions
DevicespezifischeOptionen(zB fuumlr ippp0)in etcpppoptionsippp0
Startdesipppdmit
ipppd pidfile varrunipppdippp0pid file etcpppoptionsippp0 amp
Folgendessolltemannochuumlberdenipppdwissen
EswerdenzT andereOptionenalsbeimpppdbenutztzu denUnterschiedensieheman ipppd
Die OptionenundPaszligwoumlrterwerdennur beimStartneueingelesenBeim Testensolltemanalsoimmernach-schauenob nochipppdrsquod laufenundneustarten
Eskoumlnnenverschiedeneipppdauf einDevice reagierendaherpppbind
Die Datei etcpppioptions muszligexistieren
FolgendeOptionenhabensichfuumlr die verschiedenstenISPrsquosalsstabilerwiesen
etcpppoptionsippp0
for isdn4linuxsyncPPP and dynamic IP-numbers
Klaus Franken kfrsusede
Version 270897 (51)
This file is copy by YaST from etcpppioptionsYaST
to optionsltdevicegt
The device(s)
for more than one device try
devippp0 devippp1
devippp0
The IP addresses ltlocalgtltremotegt
just 0000 or nothing for dynamic IP
0000
my user name
user suse
my system name (only for CHAP)
name my_system_name
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 22
accept IP addresses from peer
use with dynamic IP
ipcp-accept-local
ipcp-accept-remote
noipdefault
try to get IP address from interface
option specific to ipppd (as opposed to pppd)
use only with static IP
useifip
disable all header-compression
-vj
-vjccomp
-ac
-pc
-bsdcomp
sometimes you need this
noccp
max receive unit
mru 1524
max transmit unit
mtu 1500
If this machine is a server force authentication by uncommenting one
of the following However if this machine is a client doing this will
prevent a succesful connection (message peer refused to authenticate)
So only uncomment on a server
+pap +chap NUR AKTIVIEREN WENNDIES EIN SERVERIST
+pap
+chap
if you have problems with handshaking (no response for first
lcp-package) try to decrease the retry-cycle Default is 3 sec
try for example 2 sec
lcp-restart 2
533 Authentifizierung beim ipppd
Der ipppdverhaumlltsichbeiderBenutzerauthentifizierungexaktgenausowie derpppdDahernur einkurzerAbriszlig
Esstehenzwei Methodenzur VerfuumlgungPAP undCHAP Meistenswird PAP angebotenuumlberCHAP kannmanimPPPHOWTO nachlesen
Die Benutzerdatenwerdenan zwei Stellenkonfiguriert als ersteswird dem ipppd durchdasSchluumlsselwort user
mitgeteiltwelcheUser-Id demgegnerischenPPP-Daemonangebotenwerdensoll
Als naumlchsteswird dasPasswort selbst(im Klartext) in derDatei etcppppap-secrets abgelegt DieseDateidarfnur fuumlr root lesbarsein Also
chmod 600 etcppppap-secrets
Fuumlr jedenverwendetenUserwird eineZeileeingetragenzBseiderUsernamesuse undPasswort linux
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 23
client server pw iplist
suse linux
Dies ist die einzige Stelle wo das Passwort definiert ist In der etcppppap-secrets koumlnnenmehrereUserPasswoumlrterdefiniert sein uumlber die Option user wird jeweils die richtige Zeile extrahiert um dasPasswortzuermitteln
Der Benutzernamemuszlignicht im SystembekanntseinzumindestbestehtzwischendemPAP- (oderCHAP-) Benut-zernamenunddemSystembenutzerkeinZusammenhang
Nachdemderipppdgestartetist undev eineRoutedaruumlberdefiniertist wird beiBedarfautomatischeinWaumlhlvorgangausgeloumlstManuellkannmandiesausloumlsendurchisdnctrl dial ippp0 Meldungenwerdenuumlbersyslognachvarlogmessages geschrieben
534 WelcheDatenmuszlig ich uumlber denZugangkennen
FolgendeDatensolltemankennendie meistensolltederISPzur Verfuumlgungstellen
Protokoll
EssolltesyncPPPsein
Telefonnummer desISP
klar
meineMSN
Mit welchermeinerTelefonnummernmoumlchtemuszligich waumlhlensiehe43(Wasist meineMSN)
IP-Nummern
WennmanfesteIP-Nummernhatgibt der ISPzumindestdie persoumlnlichandie IP-NummerdesPtP(alsodiedesISP)kenntdeswegennochnicht unbedingtIn diesemFall gibt manirgendeineein (wie bei dynamischen)undlaumlszligteineVerbindungherstellendamitsiehtmandie IP-Nummer diemandannhier festeintraumlgt
Bei dynamischenIP-Nummerntraumlgtmanirgendwelcheeinsiehe6 (Problememit dynamischenIP-Nummern)
Authentication-Typ
PAP oderCHAP
UsernamePasswort
klar
Nameserver
Solltemanvom ISPmitgeteiltbekommenAnsonstensiehe
httpwwwsusedeSupportsdbnonameser verht ml
Mit folgendenweiterenParameternkannmandie ISDN-Verbindungsteuern
Idle-Time
Nachwie vielenSekundenInaktivitaumlt soll aufgelegt werdenWill mandiesesFeatureabstellenkannmandieZeit auf 0 stellen
HinweisDieseZeitangabeist nicht exakt
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 24
Maximale Waumlhlversuche
Wie oft soll gewaumlhltwerdenwennderGegnernichtabnimmt
Hinweis DieseAnzahl gilt nicht wenn es Hardwareproblemegibt zieht man zB das ISDN-Kabel wirdunendlichoft probiert
HinweisDieseAnzahlgilt nichtwenndieWaumlhlverbindungzustandekamaberdiePPP-Verbindungnicht auf-gebautwerdenkonnteIst zBdasPasswort falscheingetragenwird immerwiedereineVerbindungaufgebautsolangePaketeverschicktwerden
einkommendeTelefonnumern
In diesemFall soll keinerdie Verbindungvon auszligenaufbauenduumlrfendeshalbsolltemankeineeingehendeTe-lefonnummerangebenunddie Optionsecure bzw Nur angegebene Nummern erlaubt aktivieren
Callback
mehrdazusiehein
usrdocpackagesdocrcconfigi4ladd
535 PPPbei SuSEeinrichten
Die Konfigurationwird in derDatei etcrcconfig eingetragen(auszligerRouting)dieskannmanuelloderuumlberYaSTgeschehen
Konfiguration mit YaST
Menuumlpunkt Administration des Systems Netzwerk konfigurieren und Netzwerk
Grundkonfiguration auswaumlhlen
EserscheinteineMaskederkonfiguriertenNetzdeviceswaumlhleeinfreiesaus(sofernesnichtschonippp0 gibtMit F5 waumlhltmandenNetzwerktypaushier alsoISDN SyncPP
Mit F6 vergibt mandie IP-Nummern(siehe62(WelcheIP-Nummersetzeich denneigentlich)undkannauchdirektdasDefault-Gatewayangeben(siehe7 (Routing))
Mit F8 werdennundie ISDN-relevantenDateneingetragenNachdemmandasDeviceaktiviert hatkannmanesin derISDN-Maskedirekt hochfahrenmit Starten
Damit sinddie rcconfig-VariablendiePPP-OptionsdiePasswortdateiunddasRoutingangepaszligt
manuelle Konfiguration Durch folgendeVariablenin etcrcconfig wird einesyncPPP-Verbindungge-steuerthier alsechtesBsp (mit _0)
IPADDR_2=1111
NETDEV_2=ippp0
IFCONFIG_2=1111 pointopoint 19310215013 up
I4L_IDLETIME_2=60
I4L_DIALMAX_2=5
I4L_LOCALMSN_2=7417559
I4L_REMOTE_OUT_2=52145922
I4L_REMOTE_IN_2=
I4L_ENCAP_2=syncppp
I4L_SECURE_2=on
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 25
Erklaumlrung die Bedeutungder Felder ist obenangegebenin der etcrcconfig sind auchvor den FeldernentsprechendeKommentare
Es koumlnnenbeliebigviele Netzdevicesdefiniertwerden(auchwennper Default nur 4 angegebensind) die jeweilsdurcheineExtensionzB _2 gekennzeichnetwerdenDabeimuumlssennicht alle aktiv sein Welcheaktiviert werdensollenwird in derVariablenNETCONFIGgesteuertsollenzB_0 und_2 aktiv seinsetztmanNETCONFIG=_0
_2
Als naumlchstesmuszlig der ipppd konfiguriert werdenerstelleeine Datei etcpppoptionsippp0 (siehe532(PPP-Optionen))ambestenin demDu etcpppioptionsYaST kopierstIn derOptionsdateisetztedenUser-namenundpruumlfeobdasDevicestimmtDanntraumlgstDu dasPasswort passendzumUsernamenin etcppppap-
secrets ein
Zum manuellenStartensiehe532(ipppdstarten)
54 Problemebeim VerbindungsaufbauTroubleshooting
Checkliste
1 Wurdeder ipppd uumlberhauptgestartetKontrollieremit ps axgrep ipppd ob einer laumluft bzw wieviele
laufen
Kontrollierein varlogmessages dieStartmeldungenzB
syslog info no CHAP secret entry for this user
ipppd[536] Found 1 devices devippp0
ipppd[540] ipppd i229 (isdn4linux version of pppd by MH) started
ipppd[540] init_unit 0
ipppd[540] Connect[0] devippp0 fd 8
2 StimmendieBenutzerdatenDer ipppdpruumlft schonbeimStartmit welchemUsernamengearbeitetwird (user
suse ) zu diesemNamenwird dasentprechendePasswort gelesenKlappt dasnicht wird eineMeldungaus-gegebenzB
Apr 9 203217 glen syslog info no PAP secret entry for this user
In diesemFall wird eineEinwahl mittelsPAP nicht funktionierendie 12 PfennigekannmansichalsosparenUrsacheist meisteinTippfehlerbeimBenutzernamenoderfalschePermisssionsderpap-secrets
Analogesgilt fuumlr CHAP
3 Wird uumlberhaupteineVerbindungaufgebautSobalddie Gegenstelleabnimmt(und damit Kostenentstehen)erscheinteineconnect -Meldung
Wird keineVerbindungaufgebautgibt esvermutlicheinecause -MeldungSiehe44(CauseMeldungen)
Erscheinennur dialing -Meldungenabersonstnichtsliegt esander Hardwareoderam Hardware-Modulsiehe34(Hardwaretesten)und11(Installation)
4 Klapptdie EinwahlBei ErfolgreicherEinwahlerscheinenMeldungenuumlberdie IP-NummernzB
ipppd[540] local IP address 14922814259
ipppd[540] remote IP address 19310215013
SiehtmandieseMeldungendannGluumlckwunschDerGegnerwird abjetzt zumPartner
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
5 syncPPPVerbindung herstellen 26
5 select Bad file number Direkt nachderAusgabederIP-Nummernercheint
ipppd[353] select Bad file number
ipppd[353] Couldnrsquot restore device fd flags Bad file number
ipppd[353] Exit
Washatesdamitauf sichZunaumlchsteinmaldieVerbindungist trotz allemaufgebaut
Ursacheder ipppd startetbeim(Dis-) ConnectdasScript etcpppip-up (ip-down ) AufgrundeineskleinenFehlersim offiziellen ipppd (behobenin der CVS-Versionund ab SuSE52) ist die AbpruumlfungaufAusfuumlhrbarkeit fehlerhaftworaufhintrotzdemversuchtwird dasScript zu startenNachder Ferhlermeldungpassiertgenaunichts
Allerdingssolltedie Meldungtrotzdembeachtetwerdendenndawir dynamischeIP-NummerbenutzenmuszligdasRoutingangepaszligtwerdenwasgenauuumlberdieseScriptegeschehensoll diehier nicht vorhandensind
6 Die Einwahl klappt nicht Wenndie Einwahl nicht klapptsiehtmanin varlogmessages meistnurdaszligdie Gegenstelleaufgelegt hatum denGrunddafuumlrzu ermittelnbrauchtmanmehrMeldungenvom LCPDazutraumlgtmanin etcpppioptions folgendesein
Set rsquodebugrsquo to create a lot of information in varlogmessages
debug
Set rsquo+pwlogrsquo for logging passwords in varlogmessages
+pwlog
undstartetdenipppdneuDurchdebug werdendieLCP-Messagesausgegebendurch+pwlog kannmansichzusaumltzlichdasverschicktePasswort angebenlassen- letzteresist nur empfohlenwennansonstenallesrichtigscheintdennwennjemandfremndesZugriff auf varlogmessages bekommt
HaumlufigeUrsachen
UsernamePasswort falschin diesemFall wird etwasin dieserArt protokolliert
ipppd[10314] sent [0][PAP AuthReq id=0x1 user=kfr password=falsch]
ipppd[10314] rcvd [0][PAP AuthNak id=0x1msg=]
ipppd[10314] Remote message
ipppd[10314] PAP authentication failed
wobeiesrichtig soaussehensollte
ipppd[7840] sent [0][PAP AuthReq id=0x1 user=kfr password=isdnworkshop]
ipppd[7840] rcvd [0][PAP AuthAck id=0x1msg=]
ipppd[7840] Remote message
ipppd[7840] bundle he 0 we 0
LCP-Messageswerdennicht beantwortet NormalerweiseLCP-Messagesgesendetund empfangenumdasHandshakingdurchzufuumlhren(sendrcvd)
ipppd[10314] sent [0][LCP ConfReq id=0x1 ltmru 1524gt ltmagic0x93ade903gt]
ipppd[10314] rcvd [0][LCP ConfReq id=0x1 ltmru 1524gt ltauth papgt
ltMPdiscr 0x3 [ 00 c0 7b 70 d5 fa ]gt]
Wenn die Gegenseitenicht antwortet kann es sein daszlig sie nicht schnell genughochkommt (lcp-
restart erhoumlhen)oderkein (sync-)PPP-Daemondort laumluft Ist diesnicht nurein temporaumlresProblemist entwederdie NummerfalschoderderISPbietettatsaumlchlichkeinsyncPPPan
Im letzterenFall muszligmanasyncPPPfahrensiehe
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
6 Problememit dynamischenIP-Nummern 27
httpwwwsusedeSupportsdbppp_asynch tml
Noch waumlhrendder LCP-Messageslegt die Gegenstelleauf Hierbei sollte manam Protokoll erkennenwelcheOptionenangefordertoderabgewiesenwerdenDanachbleibteinemnurdermuumlhsameWeg dieseOptionenzusetzendeaktivierensieheBsp-Optionsfileundman ipppd
peer refused to authenticate Man hat selbst+pap oder +chap angegeben Ein haumlufigesMiszligverstaumlndnisdieseOptionengebenandaszligmanselberderAuthentication-ServerseinmoumlchtenichtdaszligmanPAP oderCHAP benutzenmoumlchteletzteresgeschiehtnur implizit durchAngabeuser name
unddenEintragungenin pap-secrets bzw chap-secrets
7 Die Einwahl klappt weitereTests
Zunaumlchstvergleichemandie Ausgabedesipppd mit der Ausgabevon ifconfig Die IP-Nummernmuumlssenuumlbereinstimmen(undgegenuumlberderGrundeinstellungveraumlndertsein)
Ist dasRoutingrichtig gesetztPruumlfe route -n Siehe7 (Routing) Es muszligeineHostroutefuumlr denPtP-Partnergesetztsein
VersuchedieGegenstelleanzupingenzB ping 19310215013 Wartebis dieVerbindungautomatischabbrichtundpruumlfedieRoutingtabelleerneut beobachteob wiederautomatischegewaumlhltwird
55 Uumlbung syncPPP-Verbindung herstellen
Ziel PPP-Verbindungaufbauenundtesten(keinRouting)
1 StelleeineVerbindungzu einemsyncPPP-Server her WennDu keinenanderenkennstbenutzedenSuSEISDN-Testrechnermit folgendenDaten
Protokoll syncPPP Telefon+499113206726 Usernamesuse Passwort linux IP-NummerServer 19216801 IP-NummerClient 192168099
2 Gehedie ChecklistedurchundfuumlhrediedortigenTestsaussiehe54(syncPPPTroubleshooting)
3 Pruumlfedie IP-Nummer(n)desServerswenndiesefestist aumlnderedieKonfigurationentsprechend
6 Problememit dynamischenIP-Nummern
WassinddynamischeIP-Nummern
IP-Nummernsindknappunddaherteuer Die Provider versuchendeshalbIP-Nummerneinzusparenindemsiesichnur(mindestens)sovieleIP-Nummernzuweisenlassenwie sichgleichzeitigbeiIhneneinwaumlhlenkoumlnnenDieAnzahlder potenziellenRechner die sich einwaumlhlenkoumlnntenist aberhoumlher daherkannnicht mehrfuumlr jedenRechnereineIP-Nummerfestzugeordnetwerden
Der Trick bestehtalsodarindaszligauf einefesteZuordnungRechner- IP-Nummerverzichtetwird undstattdessenbeijedemVerbindungsaufbauauseinemfreienPooleineausgewaumlhltwird diedemClientmitgeteiltwird DieseTechniknurbeimPPP-Protokoll benutztwerdennicht bei rawip
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
6 Problememit dynamischenIP-Nummern 28
DieseMethodeist primawennmannur eineArbeitstationhatundSession-orientiertarbeitetVerbindungaufbauensurfensurfenMails austauschensurfenundschlieszliglichVerbindungabbauen
Will mannur ein klein wenigmehr(transparentenInternetzugriff) stellt sichschnellherausdaszligdasInternetkonzeptunddynamischeIP-Nummernnicht zusammenpassen
FolgendePunktesindfuumlr einentransparentenInternetzugriff wuumlnschenswert
1 Dial-on-demandeswird nicht manuellentschiedendaszligeineVerbindungauf- oderabgebautwerdensoll (wersoll dasin einemgroumlszligerenNetzmachen)Die Waumlhlleitungwird automatischaufgebautsobaldPaketevorhan-densinddienicht im lokalenNetzzugestelltwerdenkoumlnnen
2 AutomatischerVerbindungsabbauwenneinegewisseZeit keinePaketeuumlberdie Leitunggehen
3 PausenverursachenkeineKostenwennkeineDatenuumlberdie Leitunggehenliest manzB eineetwaslaumlngereWeb-SeitebrauchtdieWaumlhlleitungnicht aufgebautzubleiben
4 Verhinderndaszligvergessenwird aufzulegen(Esblinkt undklackt ja nicht )
Dieseslaumlszligtsichmit ISDN wunderbarloumlsenvor allemdeshalbweil derVerbindungsaufbauim Gegensatzzu einemModemsehrschnellgeht(wenigeSekunden)
FolgendePunktesindbeidynamischenIP-Nummernnicht realisierbar
1 Server-FunktionalitaumltdieIP-NummerdesRechnersist fuumlr einenanderenRechnerim InternetnichtbestimmbarAuszligderdemwird der Provider vermutlich nicht selbsteine Waumlhlverbindungaufbauenwollen und koumlnnen-zumindestnichtbei diesenkostenguumlnstigenVertraumlgen
2 Mails koumlnnennicht direkt zumeigentlichenMailserverdurchgestelltwerden(anwelcheIP-Nummersolltensiedenn)sondernmuumlssenbei einemProviderabgelegt werdevondemsievom IZG abgeholtwerden
3 DasOffene-Sockets-Problem HalteneinerlogischenVerbindunguumlberdieVerbindungsunterbrechnunghinausist nichtmoumlglichBsp manloggt sichperTelnetbei in seinerArbeitsstelleeinnachInaktivitaumlt wird aufgelegtdruumlcktmannuneineTastewird dieVerbindungautomatischwiederhergestelltabermanbekommteineandereIP-NummerzugewiesenDie Socket-VerbindungzwischeneigenenRechnerundArbeitgeberist damitunguumlltiggewordendafuumlr einenSocketuaQuell- undZiel-IP-Nummernwichtig sind
Die gleicheProblematikstellt sichbeiWWW oderFTP-Verbindungendie unterbrochenwerden
Sehrwohl aberist mangenausowie sonstauchnicht gegenAngriffe ausdemInternetgeschuumltztEin Hacker kannnur nicht voraussagenwelchenRechnerer angreift er suchtsich halt nur zufaumlllig eine IP-Nummeraus(oderbe-lauschteineVerbindung)undkanndenRechnerangreifenDerVorteil liegt allerdingsdarindaszligderHacker wenigerZeit hatdadie Verbindungabgebautundmit einerneuenIP-Nummeraufgebautwird zwischendenenerstmalkeinZusammenhangzuerkennenist Als wirksamenSchutzreichtdiesabernicht aus
Die ProblemeAus demOffene-Sockets-Problem ergebensich zwei Punktedie bei einemIZG mit dynamsichenIP-Nummerbeachtetwerdenmuumlssen
1 Anfragenlaufen inrsquos Leer ein Web-Browser hat einenzum Web- oder Proxy-Server offen nachdem Re-Connectist dieserunguumlltigaberderBrowserhatkeineMoumlglichkeit dieszu erkennenAbhilfe schafft eshierauchAbbruch undReload zu druumlcken
2 Die Socketsbleibenoffen (auchnachBeendigungdesClient-Programms)es werdenimmer wieder Paketedaruumlbergeschicktbis ein Timeout(etwa 20 Minuten) ablaumluft In dieserZeit wird staumlndig eine Verbindungaufgebautbzw bleibt bestehen
Abhilfe schafft hier zumeinendaszligmandenClient nicht erlaubtdirekt in dasInterneteineVerbindungaufzubauen(uumlberMasquerading)sondernnuruumlberProxies(siehe102(Squid)Aber auchdieseMethodeist nicht zuverlaumlssig
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
6 Problememit dynamischenIP-Nummern 29
61 Der RST-provoking mode
Wirkliche Abhilfe schafft nur die AktivierungdesRST-provoking mode Dabeiwird bei demPaket die Quell-IP-Nummerausgetauschtgegendie jetzt aktuelledynamsicheIP-Nummer wasbewirkt daszligbeideSeitendiesenSocketschlieszligen
DieseModusist leidernochnicht in denoffiziellenKernelgekommenDenPatchvonErik Corry findetmanhier
httpwwwimagedk˜ehcorrylinux
Er ist fuumlr Kernelder Versionbis 2033passendab Version2034wird er vermutlichim Standard-Kernelsein ImStandrdkernelvonSuSELinux 52(undim Quellpaket lx_suse ist dieserPacthschonenthalten(Offen 21)
Zur Aktivierunggibt mandasKommando
echo 7 gt procsysnetipv4ip_dynaddr
(Odernur 5 fuumlr denquiet-Mode)Bei Erfolg siehtmanin varlogmessages MeldungenderfolgendenArt
ip_rewrite_addrs() shifting saddr from 1111 to 14922814250 (state 2)
AktivierungbeiSuSE
Tragein sbininitdi4l_hardware vor demStartdesisdnlogfolgendeZeilenein
test -z $I4L_DYNIP ||
echo 7 gt procsysnetipv4ip_dynaddr
(daswird vermutlichbeiSuSELinux spaumlterals52derFall sein)undtragein etcrcconfig ein
I4L_DYNIP=yes
62 WelcheIP-Nummer setzeich denn eigentlich
Der Provider stellt nur dynamischeIP-Nummernzur Verfuumlgungwaumlhrendder Konfigurationvon i4l werdeich abernachIP-Nummergefragt- welcheIP-Nummersoll ich denndaangeben
i4l arbeitetmit einertransparentenNetzanbindungdh logischgesehenist die Verbindungimmeraktiv auchwennnochgarnichtgewaumlhlt wurde und keinedynamischenIP-Nummernermittelt werdenkonnten Um diesesPseudo-Netzwerkzu konfigurierenmuumlssenaberzwangslaumlufigIP-Nummernangegebenwerden
Esempfiehltsichdaher einePseudo-IP-Nummerzu benutzenzB dieselbedie manauchfuumlr seineEthernetanbin-dungbenutztDasist moumlglichdadie PPP-Verbindungalspointopoint -Verbindung(beim ifconfig ) konfigu-riert wurdediesist ein speziellerModusdurchdender Kernelweiszlig daszlighier nur eineVerbindungzwischenzweiPunktenstattfindetWarumPoint-To-Point(PtP) alspointopoint angegebenwird weiszligich auchnicht
Um keinenKonflikt mit offiziellen IP-Nummernzu provozierensollte maneineausdemprivatenBereichwaumlhlenzB 19216811
FallsmanbeiT-Onlineangeschlossenist oderdiesplant Benutzenicht 1921680 daruumlberwerdenzT interneDienstewie Ceptabgehandelt
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
7 Routing 30
7 Routing
71 Wasist Routing
In einemlokalenNetzwerkist dasLebeneinfachwenneinTCP-IPPaketzueinemanderenRechnergesendetwerdensoll wird diesesauf demEthernetverschickt
Ist der Rechneram Internetoderin einemgroumlsserenNetzwerk(WAN) angeschlossenist die Aufgabeschonetwasschwieriger dennwennder Ziel-Rechner(bzw Ziel-IP-Nummer)nicht im lokalenEtherneterreichbarist so mussdemKernelgesagtwerdendaszligalle nicht lokal zustellbarenPakete freundlicherweisevon einemGatewayrechnerweitergeleitetwerden
Komplizierterist eswennderbetreffendeRechnerselbsteinGatewayrechnerist undmehrereNetzdevices(Ethernet-kartenModemsISDN-Kartenetc)zurVerfuumlgunghatundjeweilsuumlberdieseDevicesunterschiedlicheRechnerNetzeerreichbarsindDasist dieAufgabevomRouting
Fuumlr jede IP-Nummer muszlig definiert werden auf welchem Weg (Route) diese er-
reicht werden kann
ManunterscheidetfolgendeTypen(die Beispielewerdenunterkonkretisiert)
Netzrouten
Hier wird angebenwie einkomplettesNetzerreichbarist Beispielfuumlr ein lokalesEthernet
Bsp 1 Das Netz 19216810 mit der Maske 2552552550 ist uumlber das De-
vice eth0 erreichbar
Hostrouten
Mandefiniertwie ein einzelnerRechnererreichbarist Beispielfuumlr einesyncPPPVerbindung
Bsp 2 Der Rechner 19216801 ist uumlber das Device ippp0 erreichbar
Default-Route
Im Internetgibt esrechtvieleIP-Nummern- esist dahermuumlhsamundlangweiligfuumlr alleeinzelnenIP-NummernoderNetzeeinzelneRouting-EintraumlgezumachenDahergibt esdieMoumlglichkeit zusagen
Bsp 3 Alle IP-Nummern fuumlr die keine spezielle Regel vorhanden ist
schicke an den Rechner mit der IP-Nummer 19216801
ManbeachteesmachtiA keinenSinnmehralseineDefault-Routeanzugeben
72 Wie konfiguriert man dasRouting
Die RoutingeintraumlgewerdendemKernelzur Laufzeitmit demKommandoroute mitgeteilt(undwiederentzogen)
721 SuSEMethode
Bei SuSEkoumlnnendieRoutingeintraumlgefestin dieDateietcrouteconf eingetragenwerdendiebeimBootenoderdurcheinenRunlevelwechselvom Scriptsbininitdroute ausgewertetwird
Die Eintraumlgefuumlr dieobigenBeispielesehensoaus
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
7 Routing 31
Bsp 1
19216810 0000 2552552550 eth0
Bsp 2
19216801 0000 255255255255 ippp0
Bsp 3
default 19216801
Die 1 Spaltegibt dasZiel analsodasNetzdie IP-Nummer oderdasSchluumlszligelwort default In der3 SpaltestehtdiezugehoumlrigeNetzmaske(fallsnotwendig)
In der2 SpaltestehtderGatewayrechner andendieAnfragengeschicktwerdensollen
In der4 SpaltestehtdaszuverwendeneDevice
Hier siehtmanauchin der3 Zeile daszligbei VerwendungeinesGatewayrechnersdie AngabedesDevicesnicht noumltigist dasieselbststaumlmdigermitteltwird
Allerdingsmuszlig(in diesemBeispiel)die Hostrouteauf 19216801 definiertseinbevor mansiezumSetzenderDefaultroutenutzenkannMerke Die Reihenfolgeist wichtig
ManuellesSetzenundLoumlschenderRoutingtabelle
sbininitdroute start
sbininitdroute stop
722 Manuelle Methode
Bsp 1
route add -net 19216810 netmask 2552552550 dev eth0
Bsp 2
route add -host 19216801 dev ippp0
Bsp 3
route add default gw 19216801
Mehr Infos man route
723 Loumlschenvon Routing-Eintraumlgen
Routing-Eintraumlgekoumlnnenzum einemdirekt geloumlschtwerdensie werdenaberauchautomatischgeloumlschtwenndaszugrundeliegendeNetzdevicegeloumlschtoderumkonfiguriertwird
Dies hat in diesemZusammenhangeinenungewuumlnschtenNebeneffekt Der ipppd baut die Verbindungauf undbekommteineneueIP-NummervomServerzugewiesenwobeiselbststaumlndigeineneueHostrouteaufdie IP-NummerdesGegnerseingerichtetwird
Allerdingswird eineev vorhandeneDefaultrouteuumlberdiesesDevicegeloumlscht
Durch die PPP-Optiondefaultroute koumlnntemansich automatischwiedereineAnlegenlassenAllerdings istdieseMethodenicht sehrflexibel (vielleicht will manja dochkeineDefaultroute)undmanhaumlttehiermit keineMoumlg-lichkeit zu steuernwie sich beim Verbindungsabbauverhaltenwerdensoll Daherwird beim Verbindungauf-undabbaujeweilseinScriptgestartetsiehe73(KontrollierenderRoutingtabellebeimVerbindungsauf-undabbau)
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
7 Routing 32
73 Kontrollierender Routingtabellebeim Verbindungsauf- und abbau (etcpppip-up)
Der ipppd bietetdieeinfacheMoumlglichkeit beimVerbindungsaufbaudasScriptetcpppip-up undbeimAbbauetcpppip-down zuStartenwobeijeweilsdiefolgendenParameteruumlberdenneuenZustanduumlbergebenwerden
$1 Interface
$2 Device
$3 Speed(nurausKompatibilitaumltsgruumlnden)
$4 lokaleIP-Nummer
$5 IP-NummerdesGegners
DurchInstallationgeeigneterScriptekannalsodieDefault-RouteneugesetztwerdenDie Scriptekoumlnntenjeweils soaussehen
binsh
sbinroute add default gw $5
Bei SuSEwird ein Script etcpppip-up welchesfuumlr denhausgebrauch ausreichtDie Routenwerdenauf-grund der Konfigurationsdateiengesetztund wieder hergestellt WeitereKommandoskoumlnnenvom Administratoreingefuumlgtwerden(zB Mails verschicken)
DasScript ip-down ist einsymbolischerLink auf ip-up sodaszligmannur eineDateizuverwaltenhat
731 Wasmacht dasScript ip-upip-down
Es wird gepruumlft ob dasInterfaceippp ist sollte alsobei Analog-PPPnicht stoumlrenwer dort etwaseintragenwillsolltedieStelleleicht finden
Wennesals ip-up aufgerufenwird (alsonachdemVerbindungsaufbau)wird eineDefault-Routeauf die geradezugewieseneIP-Nummergesetzt
Wenn es als ip-up aufgerufenwird (also nachdem Verbindungsabbau)dannwird dasInterfacegeloumlscht DasInterfacewird wie in etcrcconfig wiederneuangelegteswird alsowiederaufdieurspruumlnglichenIP-NummergesetztNachdenAngabenin etcrouteconf werdendie Routingeintraumlgefuumlr diesesDevice neueingerichtetSomitist dial-on-demandwiedermoumlglich Ist dort keineDefaultrouteangegebenwird auchkeinegesetzt
Ich moumlchte aber kein dial-on-demand In der etcrouteconf (bzw in YaST)wird keineDefault-Route(Default-Gateway) angebendadurchexistiert nur waumlhrendeinerVerbindungeine Default-Routediesewird beimVerbindungsabbaugeloumlchtundnicht neuangelegt Die Verbindungkanndannmanuell(oderdurchein Script)durchisdnctrl dial ippp0 aufgebautwerden(oderdurchmanuellessetzenderDefault-Route)
DadurchkannzB aucherreichtwerdendassmit verschiedenenProviderngearbeitetwird in demFall mussmanjasowiesoentscheidenwelcheVerbindungnunhochgefahrenwerdensoll zB isdnctrl dial ippp17
74 Uumlbung Kontrollieredie IP-Nummer und die Routing-Tabelle
1 varlogmessages uumlberwachenSiehe2 (Betrachtemessages)
2 Pruumlfeip-up und ip-down
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
7 Routing 33
glenroot ls -la etcpppip-
lrwxrwxrwx 1 root root 5 Mar 20 1016 etcpppip-down -gt ip-
up
-rwxr-xr-x 1 root root 1813 Mar 24 2303 etcpppip-up
Siehe11 (Installation)
3 PruumlfeIP-NummernunddieRoutingtabellevor einerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr192168099 P-t-P19216801 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets0 errors0 dropped0 overruns0
TX packets0 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
19216801 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 19216801 0000 UG 0 0 0 ippp0
4 Verbindunginitiieren Man kannentwederein Paketeverschicken(zB ping 141111 oderdasWaumlhlendirekt verlangenisdnctrl dial ippp0
Als Beispielbekommenwir dieIP-Nummer1234 zugewiesenderGegnerhabedieIP-Nummer5678
(siehemessages)
5 PruumlfeIP-NummerunddieRoutingtabellewaumlhrendeinerVerbindung
glenroot ifconfig ippp0
ippp0 Link encapPoint-Point Protocol
inet addr1234 P-t-P5678 Mask255000
UP POINTOPOINT RUNNINGNOARP MTU1500 Metric1
RX packets2 errors0 dropped0 overruns0
TX packets3 errors0 dropped0 overruns0
glenroot route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
5678 0000 255255255255 UH 0 0 0 ippp0
127000 0000 255000 U 0 0 2 lo
0000 5678 0000 UG 0 0 0 ippp0
6 Wir gehenin die groszligeweite Welt BestimmeeineexistierendeIP-Nummer die einzigedie ich mir merkenkannist diedesDNS-ServervonECRCtraceroute -n 141111 Manbeachtedaszligwir nochkeinenDNS-Servivebenutzenkoumlnnendaher-n
7 Timeoutabwartenbis aufgelegt wird betrachtevarlogmessages zB
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
8 IP-Nummern Aufloumlsung(DNS) 34
kernel isdn_net local hangup ippp0
kernel ippp0 Chargesum is 0
isdnlog Apr 03 092049 tei 70 calling Eunet-N with KfrI I Nor-
mal call clearing (User)
ipppd[135] Modem hangup
ipppd[135] Connection terminated
ipppd[135] taking down PHASE_DEADlink 0 linkunit 0
ipppd[135] sent [0][LCP TermReq id=0x2 6c 69 6e 6b 20 63 6 c 6f 73 65 64]
ipppd[135] LCP is down
ipppd[135] link 0 closed linkunit 0
ipppd[135] reinit_unit 0
ipppd[135] Connect[0] devippp0 fd 6
8 IP-NummernundRoutingpruumlfensiemuumlssenjetztwiedergenausogesetztseinwie vor demVerbindungsaufbau
8 IP-Nummern Aufloumlsung(DNS)
BekanntlichwerdenRechnerim Internetuumlberdie IP-NummernangesprochenNiemandmoumlchtesich aberdie IP-Nummerndirekt merkenpraktischerist esNamenzu verwendenzB wwwfrankende Aber nicht nur fuumlr diebessereMerkbarkeit sinddieseNamenwichtig sondernsiedienenauchalsVariablederenInhaltsichveraumlndernkannWennein wichtiger Server eineneueIP-Nummerbekommt (zB durchUmzugoderProviderwechsel)so wird derNameeinfachauf dieneueIP-Nummeraufgeloumlst
Genausowichtig (unddaswird gernevergessen)wie die Aufloumlsungvon Namenin IP-Nummernist derumgekehrteFall alsoIP-Nummerin einenRechnernamenaufloumlsen
DieseumgekehrteAufloumlsungist oft diejenigedie Problemeim lokalenNetzwerk(alsoungewollte Verbindungen)machtdennviele ServicesnutzendieseMoumlglichkeit zur Verifikation bei einereinkommendenVerbindungdennindenRegelnwer wasmachendarf werdenmeistRechnernamenanstattIP-NummernverwendetUumlberdasNetzwerkist aberzunaumlchstnur die IP-Nummersichtbarundmuszligalsoin einenNamenaufgeloumlstwerden
Esgibt zweiwichtigeMethodezur Namensaufloumlsungdiegleichzeitigbenutztwerdenkoumlnnen(undmuumlssen)
81 festeIP-Nummern Aufloumlsunguumlber etchosts
Alle bekanntenIP-Nummerwerdenfest in einerDateigespeichertdie derAdminsitratormanuellpflegen(oderko-pieren)muszlig
In derDateietchosts werdenalle RechnernamenundIP-Nummernfesteingetragen
Beispiel In der Domain isdnworkshopde gibt es die Rechner Asterix (19216811 ) und Obelix(19216812 ) DannsiehtdieDateisoaus
IP FQN Kurzname
19216811 Asterixisdnworkshopde Asterix
19216812 Obelixisdnworkshopde Obelix
82 dynamischeIP-Nummern Aufloumlsungmit DNS
Eswird schnellersichtlichdaszligeinefesteAufloumlsunguumlbereineDateidiestaumlndigaktuellauf jedemRechnerinstalliertseinmuszligdasInternetnicht funktionierenwuumlrdeDie festeAufloumlsungkannnur in einemuumlbersichtlichenlokalenNetz
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
8 IP-Nummern Aufloumlsung(DNS) 35
benutztwerden
DNS (DomainNameService)dientebenfalls zumAufloumlsenvon Rechnernamenin eineIP-NummerundumgekehrtDerUnterschiedliegt darindaszligeseinInternet-Serviceist denmanaufAnforderungabfragenkannEsgibt sehrvieleDNS-Server im Internetwobei eseinehierarchischeStrukturgibt die sich an denDomainnamenorientiert JederDNS-Server ist fuumlr eineSub-(Sub-)DomainzustaumlndigBeim Abfragenhangelt mansich von denRoot-Servernherunter bismandenServergefundenhatderdie Anfragetatsaumlchlichbeantwortenkann
DasEinrichteneinesDNS-Serversoll anandererStellebeschriebenwerdenzB im DNSHOWTO
Fuumlr unsereZwecke reichteszu wissenwie derServiceaktiviert wird undwo maneinstelltwelchesderNameserverist
83 Konfiguration der Namensaufloumlsung
Esist wie gesagtdurchaussinnvoll beideMethodenderNamensaufloumlsungzukombinierenWichtig ist hier daszligauchohneInternetverbindunglokal gearbeitetwerdenkann Uumlblicherweisewerdendie lokalenRechner(mindestensdereigene)uumlberdie etchosts aufgeloumlstallenichtbekanntenAnfragenwerdendannuumlberdenNameserverbeimISPaufgeloumlst
Um die Namensaufloumlsungmuszligsich eineApplikation nicht selberkuumlmmernsondernwird durch libc -Funktionen(zb gethostbyname() erledigtDieselibc-Funktionengilt esalsozukonfigurieren
Uumlberdie Datei etchostconf wird zunaumlchstgesteuertwelcheMethodenuumlberhauptbenutztwerdensollenundsehrwichtig auchin welcherReihenfolgediesgeschehensoll
Beispieletchostconf
order hosts bind
multi on
gibt an daszligzunaumlchstin der etchosts gesuchtwerdensoll bei Miszligerfolg dort soll der DNS-Server (bind )bemuumlhtwerden
Wennein Nameserverbenutztwerdensoll ist nocheinezweiteDateietcresolvconf zukonfigurieren
search isdnworkshopde susede
nameserver 19216820071
Die 2 Zeilesollteselbsterklaumlrendseinin dererstenwird einesogenannteSearchlistangegebendieseist nurdannvonBedeutungwenneinRechnernameohnevollstaumlndigeDomainversuchtwird aufzuloumlsenBeispieleswird nacheinemRechnerGoedel gesuchtdenderNameservernichtkenntdannwird zunaumlchstisdnworkshopde angehaumlngtunddamit versuchteinenRechnerGoedelisdnworkshopde zu finden ist auchdasnicht erfolgreichwird nachGoedelsusede gesucht
AumlnderungenandiesenbeidenDateiensindsofortwirksam
831 Namensaufloumlsungbei SuSE
SetzedieVariablenin etcrcconfig fuumlr obigesBeispiel
SEARCHLIST=isdnworkshopde susede
NAMESERVER=19216820071
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
8 IP-Nummern Aufloumlsung(DNS) 36
84 Problememit der Namensaufloumlsung
ProblemebeiderNamensaufloumlsungerkenntmanschnellanseinerTelefonrechnung-(
Ein Beispiel eine Benutzermachtim lokalen Netz ein Telnet von der IP-Nummer19216812 auf den IZG19216811 Der Server pruumlft vor demeigentlichenStartdesTelnet-DaemonswelcheIP-Nummerreinkommt(Stichwort TCP-Wrapper)da dieseNummernicht aufgeloumlstwerdenkannwird der Nameserver befragtdieseristbeimISP eineVerbindungwird automatischaufgebautErgebnisderTelnetbrauchtnicht nur etwa eineMinute biszumLogin (derDNS-ServerkanndieseprivateIP-Nummernicht aufloumlsen)sondernkostetauchnoch12 Pfennige
841 Checkliste
1 Ist die eigeneIP-Nummerin deretchosts eingetragen
2 SindalleRechnerdeslokalenNetzwerksin der etchosts eingetragen
3 Ist dasPaketbind installiert
+kfr $ rpm -q bind
bind-496-5
4 KannderNameserverangesprochenwerdenTest
+kfr $ nslookup wwwsusede
Server Platosusede
Address 1921681001
Name Turingsusede
Addresses 195125217200 1921681023
Aliases wwwsusede
5 EinenbeliebigenanderenNameserverkannmandirekt testenzB
+kfr $ nslookup wwwsusede 141111
Server ecrcde
Address 141111
Non-authoritative answer
Name Turingsusede
Address 195125217200
Aliases wwwsusede
Tips
1 FuumlrdasgesamteSubnetzIP-NummernundNamenin die etchosts eintragenauchwennsie(noch)nichtverwendetwerdenBsp
19216811 Serverisdnworkshopde Server
19216812 Clientisdnworkshopde Client
19216813 Dummyisdnworkshopde Dummy
19216814 Dummyisdnworkshopde Dummy
19216815 Dummyisdnworkshopde Dummy
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
9 Dial-On-Demandkontrollieren 37
usw
2 EinrichteneineseigenenDNS-Proxy-ServersNebenderschnellerenAufloumlsungwerdenauchdie fehlerhaftenAnfragengecachtsodaszlignicht sohaumlufigeineVerbindungaufgebautwird (Siehe101(DNS-Cache))
9 Dial-On-Demand kontrollieren
WaumlhrendderKonfigurationsolltemanunebingtdasSystemuumlberwachenund feststellenwannundwarumeineVer-bindungaufgebautwird AnsonstenkannesschnellzuunerwuumlnschtenTelefonrechnungenkommen
Man kannsich abersicherseindaszligniemalsgrundloseineVerbindungaufgebautoderoffengehaltenwird Die ge-schiehtimmernur dannwennauchtatsaumlchlichPaketeuumlberdieLeitungverschicktwerden
Es gilt also inbesonderedie beteiligtenServerdiensteauf dem Rechnerzu uumlberpruumlfenob Sie richtig konfiguriertwurdenundggf dieUrsachenderVerbindungaufzuspuumlren
91 Verbindungen uumlberwachen
Esgibt eineVielzahlvonISDN-Statusmonitorenderwichtigsteist imon diesesKonsolenprogrammlaumlszligtsichin jederUmgebungeinsetzenreagiertpromptundverschlingtkeineSystemressourcen
WeitereProgrammesindxisdnload (zeigtauchdenDurchsatz)isdnmon undisdnmonp Alle MonitorezeigendieTelefonnummerunddie Art derVerbindung(ein-oderausgehendean)
92 Grund der Verbindung feststellen
DurchdenBefehl isdnctrl verbose 3 wird dasi4l-Subsystemveranlasstbei jedemVerbindungsaufbaueineMeldung in varlogmessages zu schreibenanhandder manerkennenkannzwischenwelchenIP-NummernundPort-NummerneinPaket verschicktwird
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
Apr 10 210506 glen kernel OPEN 1111 -gt 2090511 TCP port 2224 -gt 80
NachteilmankannnichtuumlberpruumlfenwarumeineVerbindungnicht abgebautwird
Mehr 131(SDB ungewollte Verbindungen)
tcpdump (Paket tcpdump ) ist ein Paketsniffer deralle Paketeauf einemNetzdevicemitschneidetDie Aus-gabedesProgrammesist leider nicht sehrmenschenfreundlichaberzumindestdie verwendetenIP-NummerundPort-Nummernwerdensichtbargemacht
DiesesBeispielist eineAnfrageandenWWW-Serverwwwsusecom (Alias goldengate )
glenroot tcpdump -i ippp0
tcpdump listening on ippp0
210539382188 pec-30au1nuunetde2230 gt goldengatesusecomwww
S 13844889191384488919(0) win 512 ltmss 1460gt
210539642188 goldengatesusecomwww gt pec-30au1nuunetde2230
S 33260892933326089293(0) ack 1384488920 win 32736 ltmss 1460gt
210539642188 pec-30au1nuunetde2230 gt goldengatesusecomwww
ack 1 win 32120 (DF)
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
9 Dial-On-Demandkontrollieren 38
Nachteil bei VerwendungdynamischerIP-Nummernwird durchdenPPP-DaemondasInterfaceippp0 neuangelegt tcpdump zeigtnachdemNeuanlegenkeineDatenmehranundmuszligabgebrochenundneugestartetwerden
93 Verbindungen auswerten
DasProgrammisdnlog laumluft im HintergrundundhorchtstaumlndigaufdemD-Kanalmit alleAktivitaumltenwerdenzumeinenin varlogmessages geloggtzumanderenin dieLog-Dateivarlogisdnlog protokolliert
Mit demTool isdnrep kannmandieseDateiwiederumzueinemspaumlterenZeitpunktaufrufenEsgibt eineVielzahlvon Parameternhier dir wichtigsten
isdnrep alle VerbindungendesheutigenTages
isdnrep -a alleprotokolliertenVerbindungen
isdnrep -t010498-030498 alle Verbindungenvom 1 bis 3 April 1998
Mehr Infos in
usrdocpackagesi4lisdnlogREADME
bzw im Quellpaket
94 Dial-On-Demandan- und ausstellen
Dasi4l-Subsystemist (wennesdenneinmalgestartetwurde)nicht dafuumlrvorgesehendaszligVerbindungennur manuellgestartetwerdenMankoumlnntedasKonzeptbei i4l alsoauchsoformulierenwennesgestartetist bestehtstaumlndigeineVerbindungdieaberautomatischgekapptwird wennnichtspassiert
Wer esdennochmachenwill derentferneeinfachdie Default-RouteIn diesenFall wird nur nochdanneineVerbin-dungaufgegebautwennein IP-Paket an die direkteGegenstellegeschicktwird wasiA nicht vorkommtda dieseGegenstellekeineInternetdiensteanbietetunddahervon keinemClient angesprochenwird
Als endguumlltigenSchritt kannmanauchdaskompletteInterface(ippp0) herunterfahrendannkoumlnnengrundsaumltzlichkeineVerbindungenaufgebautwerden
95 Tips im SuSESystem
MankanndieRunlevel-Scriptsnatuumlrlichauchmanuellbenutzen
sbininitdi4l stop
faumlhrtalle ISDN-Netzdevicesrunter
sbininitdi4l start
sbininitdroute
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
9 Dial-On-Demandkontrollieren 39
legt siewiederanundsetztdieRouten
Wer bei einersyncPPP-Verbindungdie Verbindungnur manuellstartenmoumlchtekanneineEigenschaftdesScriptesetcpppip-up abSuSE52ausnutzen(SieheFixMe) Dieseslegt beimVerbindungsaufbaueineDefaultrouteauf die neuerkanntePtP-AdresseBeim Verbindungsabbauwird dasDevice neuangelegt und die Defaultroutege-loumlschtSchlieszliglichwird dieDateietcrouteconf durchsuchtunddieDefaultroutewenndefiniertneuangelegtDefiniertmandort keineDefaultroutesohatmannachVerbindungsabbauebenkeine
Gestartetwerdenkanndannnurmit demKommando
isdnctrl dial ippp0
undwermanuellAuflegenwill
isdnctrl hangup ippp0
96 Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
Am bestengarnichtdenndasist AufgabedesAdministratorsEsist nurdiesemvorbehaltenNetzdevicesundRoutenzukonfigurieren
Versuchenicht dennotwendigenProgrammensuid-Attribute zu geben Erstensist die Aufgabesehrschwer undzweitenshandeltmansich damit ein riesigesSicherheitslochein dennwenndieseProgrammeerstmaloffen sindlassensichauchandereunerwuumlnschteDingedamittun
EinemeinzelnenScriptsuid-Attributezu gebenist unterLinux ebenfallsverboten
Weresdennochunbedingtmachenwill derbenutzeeinPaketwie zBsudo Damit lassensichfuumlr einzelneBenutzerbestimmteKommandosdefinierendie diesedannalsBenutzerroot ausfuumlhrenduumlrfen
Hier eineinfachesBeispiel
1 Paketsudo installieren
2 Mit visudo die Konfigurationsdatei editieren zB soll der Benutzer kfr das Programmusrlocalbindial ausfuumlhrenduumlrfen
User privilege specification
kfr ALL=usrlocalbindial
Hinweis benutzenurdasKommandovisudo um dieKonfigurationsdatei(etcsudoers ) zu veraumlndern
3 DasScriptdial koumlnntezB sosein
binsh
DEVICE=ippp0
if test $UID -ne 0 then
exec sudo $0 $
fi
case $1 in
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 40
stop)
echo stop
isdnctrl hangup $DEVICE
)
echo dial
isdnctrl dial $DEVICE
esac
Wird esnichtalsUserroot aufgerufenstartetessichselbstmit sudo neuMit dial wird gewaumlhltmit dial
stop wird aufgelegt
4 sudofragt beimerstenStartunddanachvon Zeit zuZeit dasPasswort desaufrufendenBenutzersab
5 Um diePasswortabfragezu verhinderndasSchluumlsselwort NOPASSWDmit angebenzB
kfr ALL=NOPASSWDusrlocalbindial
10 Konfiguration der Inter net-Dienste
VoraussetzungDie Internet-VerbindunguumlbereineDial-On-DemandWaumlhlverbindungunddasRoutingfunktioniert
Jetztsollen(je nachBedarf)weitereInternetdiensteeingerichtetwerden
101 DNS-Cache
Hintergrundsiehe8 (IP-NummernAufloumlsung)
1 Paketbind installieren
2 editiereetcnamedboot
cache rootcache
options query-log
forwarders 1927614466
slave
Bei forwarders werdenein odermehrereIP-Nummernder Nameserver eingetragenDie Option slave
steuertdasVerhaltenwennder Nameserver selbstnochkeineAntwort hat ohnedie Option muumlszligtejetzt dereigeneNameserver die Anfrage aufloumlsen(aufwendig) Mit dieserOption (empfohlen)wird dem Forwardergesagtdaszligersoll dieAnfrageaufloumlsenBei dernaumlchstenAnfragehaterdiesedannim Cache
Zur Diagnoseist zu empfehlennochdie Zeile options query-log einzufuumlgeneswerdendannuumlberSy-slog(alsoin varlogmessages alle AnfragenandenNameserverprotokolliert dadurchlassensichein-fachdie Uumlbeltaumlterim lokalenNetzfindenBsp
named[232] XX 19216812wwwsusedeA
DerRechner19216812 fragtnachdemA-Recordfuumlr wwwsusede
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 41
3 Wir benutzenunsselbstals Nameserver Trageals Nameserver die lokale IP-Nummerein (19216811 )siehe83(KonfigurationderNamensaufloumlsung)
4 StartedenNameserver
SuSEMethodeTragein etcrcconfig ein
START_NAMED=yes
StarteNameserverdurchRebootoderdirektdurchsbininitdnamed start ManuelleMethodeusrsbinnamed
5 Testnslookup wwwsusede
ErgebniseineVerbindungwird aufgebautin messageswird dieAnfrageprotokolliert unddieIP-Nummerwirdaufgeloumlst
EineWiederholungderAnfragewenndie Verbindungnicht bestehtdarf keineVerbindungaufbauendie An-fragemuszligsofortbeantwortetwerden
102 Squid
Squidist ein WWW- undFTP-Proxy Der Vorteil einesProxiesliegt nicht nur darinAnfragen(fuumlr mehrereBenut-zer) zu cachensondernauchdarindaszligClientrechnerim lokalenNetz nicht unbedingtechtenInternetzugriff (uumlberMasquerading)habenmuumlssenwasdieUumlbersichtunddieSicherheiterhoumlht
SquidhateineVielzahlvon OptionenundFeaturesdie mitgelieferteBeispielkonfigurationin etcsquidconf
ist sehrgut dokumentiertundfunktioniertzunaumlchsteinmalohneAumlnderung
1021 Starten von Squid
Bei SuSEwird uumlberdie rcconfig -VariableSTART_SQUIDgesteuertob SquidgleichbeimSystemstarthoch-gefahrenwerdensoll (uumlbersbininitdsquid )
ManuellkannmansquidzBdurch
usrsbinsquid -sYD gtgt varsquidsquidout 2gtamp1 amp
starten
Vor demerstenStartmuszligdasCache-Directoryinitialisiert werdendiessollte als Benutzersquid geschehenAlsroot kannmaneinfachaufrufen
su squid -c usrsbinsquid -z
1022 Clients anpassen
Die WWW-Browsermuumlssenkonfiguriertwerdendamit Sie denProxy ansprechenBei Netscapegibt esdie Mas-ke OptionsNetwork PreferencesProxies Manual Proxy Configuration In derMaske gibtmanjeweils fuumlr FTPundHTTP-Proxydie IP-NummerdesIZG im lokalenNetzein undalsPortnummer3128 (oderwasin etcsquidconf definiertist
ZusaumltzlichsolltemannochdasFeldNo Proxy for ausfuumlllenfuumlr welcheDomainsnichtuumlberdenProxygegangensonderndirektauf denWWW-Serverzugegriffenwerdensoll zB localhost isdnworkshopde
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 42
103 Fetchmail
DasProgrammfetchmail (Paketpop ) eignetsichdazuMails uumlberdasPOP3-Protokoll vom Providerabzuholen
DasAbholenkannauchals normalerUserdurchgefuumlhrtwerdenwir holenhier die Mails als Root abdadurchlaumlszligtsichderVorgangbesserautomatisierenNachdemAbholenwerdendie Mails demlokalenSendmailuumlbergebenundzugestellt
Der Mailserver seimailproviderdeEsgibt zwei Benutzerasterixundobelix die auf demlokalenRechnereva undmariaheissenAls Passwoumlrterwerden(aufdemMailserver)adamundjosefbenutzt
LegeeineDatei rootfetchmailrc an
poll mailproviderde protocol POP3 user asterix password adam is eva
poll mailproviderde protocol POP3 user obelix password josef is maria
ZumTeststarte
fetchmail -v --keep -a
Die Option-v gibt mehrAusgabendieOption-keep sorgt dafuumlr daszligdieMails aufdemServerzunaumlchstnichtgeloumlschtwerden
Wenn das erfolgreich war trage in etcpppip-up das Kommando fetchmail -a varlogfetchmail in derStart-Sectionein
Mehr Infos
httpwwwsusedeSupportsdbfetchm ailh tml
UumlbungaufdemServer liegenMails fuumlr jedeWorkstationbereitRichtefetchmailsoeindaszligbei jedemVerbindungs-aufbauMails abgeholtwerdenPruumlfedie lokaleZustellungSiehesupport-dbsdbfetchmailhtml undetcpppip-up
104 Sendmail
UumlberSendmailkannmandickeBuumlcherschreiben(siehe133(Sendmail))
DasSuSEPaket sendmail ist fuumlr dieseZwecke hier bestensgeruumlstetBesonderswichtig sind hier zumeinemdaszligdie Absenderadresserichtig gesetztwird denndie lokale Domainkoumlnnteja zur E-Mail-Adressebeim Providerunterschiedlichsein Zum anderensollen lokale E-Mails sofort zugestelltwerdenMails die uumlberdie Waumlhlleitungverschicktwerdenmuumlssensollendagegenin eineQueuegestelltwerdenohnedaszligeineVerbindungaufgebautwird
Wie immergibt esmehrereWege
Sendmailuumlberetcrcconfig konfigurieren
FROM_HEADER=klausfrankende
SENDMAIL_TYPE=yes
SENDMAIL_SMARTHOST=mail-nfrankende
SENDMAIL_LOCALHOST=localhost frankenbeunetde glenhomesusede
klausfrankende
SENDMAIL_RELAY=
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 43
SENDMAIL_ARGS=-bd -om
SENDMAIL_EXPENSIVE=yes
SENDMAIL_NOCANONIFY=yes
Sendmailuumlberm4-Macro-FilekonfigurierenSeit sendmailVersion8 bietetSendmailein Macro-Paket beidem die eigentlich Konfigurationsdateietcsendmailcf nicht von Hand erstellt werdenmuszlig son-dern uumlber eine Meta-Datei generiertwird Das Directory ist je nach Distribution unterschiedlich(zBusrsharesendmailm4 beiSuSEauchin etcmail )
In der Distribution sollten sich Vorlagen befinden Bei SuSE ist eine gut kommentierteetcmaillinuxmc dabei Bevor mandieseaumlndertsollte man in etcrcconfig dasautomati-scheGenerierenabstellen(SENDMAIL_TYPE=no)
MangenerierteineneueKonfigmit
m4 linuxmc gt etcsendmailcf
Mehr Infos sieheetcmailREADME
SendmailFinetuningBei ausgehendenE-Mails werdenabhaumlngigvom lokalen Benutzernamendie E-Mail-AdressenumgeschriebenDatei etcmailgenericstable
kfr kfrklausfrankende
sandra sandraklausfrankende
sr sandraklausfrankende
Uumlbung
ndash SchreibeDir selbsteineMail auf demlokalenRechner
ndash SchreibeanderenUserneineMail aufdemlokalenRechner
ndash SchreibeeineMail anrootserverisdnworkshopde
ndash SchreibeeineMail anandereUserauf serverisdnworkshopde(ws0ws1)
ndash Pruumlfenachwo DeineMails sind
ndash Stellesicher daszligMails beim Verbindungaufbaugequeuedverschicktwerdenlokale Mails abersofortzugestelltwerden(Siehein etcpppip-up )
ndash PruumlfedieMailqueuemit mailq
105 News
OnlineNewslesenist schonhiermitsehreinfachalsNews-ServerdenServerdesISPangebenDazumuszligmanfuumlr diemeistenNews-Readdie VariableNNTPSERVERsetzenzB export NNTPSERVER=rsquoklausfrankendersquo Diessolltemansystemweitin der etcprofile eintragen
Wuumlnschenswertist natuumlrlichNews-Offline zulesenundentwederbeiBedarfzuholenbzw zuverschickenoderdiesesperCron-JobzB jedeNachtdurchfuumlhrenzu lassen
Die InstallationeineseigenenNews-Servers ist rechtaufwendigesbietensich CNewsoder INN an SiehedazuNewsHOWTO (fixme)
Ein eigenerNews-Serverist abereigentlichnurdannnotwendigwennmanaufdiesemselberNewsgruppeneinrichtenmoumlchte Will man dasnicht sind CNews und INN vollkommenoverkilled deshalbmoumlchteich hier zwei andereMoumlglichkleitenvorstellen
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 44
Zwei Paketebietensichan Leafnodeundslrn Beidesindeinfacheinzurichtenundzu wartenundeignensich fuumlreinmittleresNewsaufkommenvollkommenaus
slrn ist eigentlicheineigenerNews-Reader(textorientiertsehrflexibel undschnell)undbieteteineigenesProgrammslrnpull dasdie News abholtundin ein eigenesSpool-Verzeichnisstelltauf welchesdirekt von slrn zugegrif-fen werdenkann Einschraumlnkungen eskannkein anderesNews-Programmdaraufzugreifeneskannnicht uumlberNetzwerkauf dieNewszugegriffenwerden(vielleicht uumlberNFSuntestet)dakein lokalerNews-Server laumluft
Leafnode stellt dagegeneineneigenenNews-Server zur VerfuumlgungbrauchtaberinsgesamtmehrRessourcenDerTrick beiLeafnode ist der dassichderServerquasiselbstkonfiguriertwird voneinemClientaufeineGruppezuge-griffenwird dieseautomatischabonniertundist beimnaumlchstenAbgleichvorhandenwird dagegenlaumlngereZeit nicht(mehr)auf eineGruppezugegriffen wird dieseautomatischgeloumlschtMan kannLeafnodealsoin einemkleinerenNetzmit mehrerenLeserntrotzdemnahezuunbeaufsichtigtlaufenlassen
BeideProgrammearbeitensehrgut in dieserDial-On-Demand-UmgebungZugriffe auf denNews-Server beimPro-viderwerdennur auf Wunschnieaberautomatischausgefuumlhrt
1051 slrn installierenund konfigurieren
Die getesteteVersionist 0952von
spacemitedupubdavisslrn
Eswird dieslang-BibliothekabVersion103benoumltigt(bei SuSE52ist noch09938dabei)zubekommenunter
spacemitedupubdavisslang
Beim Compilierennicht vergessenauchmake slrnpull anzugebenDie BinarieszB nachusrlocalbin
kopierenoderfolgendesausfuumlhren
install -m 755 -o root -g root srcobjsslrn usrlocalbin
install -m 755 -o root -g root srcobjsslrnpull usrlocalbin
install -d usrdocpackagesslrn -m 755 -o root -g root
install -m 644 -o root -g root doc usrdocpackagesslrn
install -m 644 -o root -g root COPYRIGHTusrdocpackagesslrn
install -m 644 -o root -g root COPYING usrdocpackagesslrn
install -m 644 -o root -g root READMEusrdocpackagesslrn
install -m 644 -o root -g root changestxt usrdocpackagesslrn
install -m 644 -o root -g root docslrn1 usrlocalmanman1
install -d usrdocpackagesslrnslrnpull -m 755 -o root -g root
install -m 644 -o root -g root slrnpull usrdocpackagesslrnslrnpull
DanndasSpool-Verzeichnisanlegenunddie Config-Dateierstellen
mkdir varspoolslrnpull
cd varspoolslrnpull
cp srcslrnslrnpullslrnpullconf
In slrnpullconf koumlnntezB folgendesstehen
default 0 14
dealtcommisdn4linux
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 45
JetztnochdenNews-Readerauf diesenSpool-Pfadkonfigurierenin ˜slrnrc anfuumlgen(anpassen)
Spool
set spool_inn_root varspoolslrnpull
set spool_root varspoolslrnpullnews
set spool_nov_root varspoolslrnpullnews
set use_slrnpull 1
set read_active 1
set server_object spool
hostname klausfrankende
set username kfr
DasAbholenVerschickeneigenerNewsunddasLoumlschenalterArtikel geschiehtmit einemeinzigenKommando(alsroot)zB
slrnpull -d varspoolslrnpull -h newsfrankende
Beim erstenMal dauertdasnatuumlrlichsehrlangeundsollte dahermanuellausgefuumlhrtwerden Im BetriebkannmandasuumlbereinenCroneintragoderin etcpppip-up bei jedemVerbindungsaufbaudurchfuumlhrenlassen
Beim manuellenStartgibt slrnpull Meldungenauf der Consoleauswird esim Hintergrundgestartetloggt esnachvarspoolslrnpulllog (AchtungdieseDateikanngrosswerden)
1052 Leafnodeinstallierenund konfigurieren
Leafnode(Version14)gibt esauf
ftptrollnopubfreebies
Die mitgeliefertenDateienREADMEundINSTALL beschreibendie Installationsehrgut
Im folgendenBeispielwerdendie Binariesleafnode fetch und texpire nachusrlocalbin installiert(Makefileanpassen)
Zunaumlchstwird derNNTP-Server leafnode in der etcinetdconf durchfolgendeZeileaktiviert
nntp stream tcp nowait news usrsbintcpd usrlocalbinleafnode
Danachein killall -1 inetd ausfuumlhren
Als naumlchstesmuszligeinUserundeineGruppenews angelegt werdenzBdurchfolgendenEintragin etcpasswd
newsx913varspoolnewsbinbas h
Alle ArbeitenmuumlssendannalsUsernews ausgefuumlhrtwerden(alsRoot su - news)
Im Verzeichnisusrlibleafnode wurdebei der InstallationeineBsp-Dateiangelegt die mankopierenundanpassenmuss
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 46
su - news
cd usrlibleafnode
cp configexample config
Die Dateiist kommentierthier arbeitenfolgendeEintraumlge
server = newsfrankende
expire = 20
maxcount = 1000
JetztmuszligmandafuumlrsorgendaszligdasProgrammtexpire regelmaumlssigaufgerufenwird (ansonstenwerdenkeinealtenNewswiedergeloumlscht)hier arbeitetfolgenderCrontab-Eintragvom Userroot
42 5 su news -c texpire
um jedeNachtum 542zu loumlschen
DurchdasKommandofetch (besserfetch -v ) wird nunderNews-Server initialisiert aberkeineGruppensindaktiv
In demmanjetzteinmaligdurcheinenNews-ReaderaufdiesenNewsserverundaufdieinteressantenGruppenzugreift(eswerdennatuumlrlichalle mit der Anzahl 0 angezeigt)werdendie Gruppenabonniert Beim naumlchstenAufruf vonfetch werdendanndieArtikel geholt
Auch hierkannmanfetch via CrontabregelmaumlssigoderdurcheinenEintragin etcpppip-up aufrufen
ProblememanhatkeinendirektenEinfluszligdaraufwelcheGruppenabonniertwerdenEsseidenndaszligmanvor demAufruf von fetch dasVerzeichnishomeoptspoolnewsinteresting group s aufraumlumt
Die Ausgabevon fetch sollte beachtetwerdenabgelehnteeigenePostingswerdennirgensabgespeichertsonderneinfachgeloumlscht
106 Fir ewall
Hinweis Firewalls sind ein heiklesThema Insbesonderehierfuumlr uumlbernimmtder Autor keineGarantie Wer einewirklich sicheresSystembenoumltigtsoll zumindestdasFirewall HOWTO lesenodereinenExpertendafuumlrbeauftragen
UumlberFirewalls kannmandickeBuumlcherschreiben (siehe133(Firewall) oderdasFirewall HOWTO
Die einfachste(aberwirkungsvolle) Methodeist dieBenutzungeinesPaketfiltersdiedirekt vomLinux-Kernelunter-stuumltztwird unduumlberdasKommandoipfwadm (IP-FireWall ADMinistration) konfiguriertwird
1061 Wasist ein Paketfilter
JedesIP-Paket dasvom Kernelbehandeltwird wird nacheinerRegellisteuntersuchtundentwederakzeptiertoderabgelehnt
Eswerdendrei verschiedeneListengefuumlhrt
1 Incoming(Schalter-I ) einkommendePakete
2 Outgoing(Schalter-O) ausgehendePakete
3 Forwarding(Schalter-F ) durchgehendePakete
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 47
1062 Wie gibt man eineFir ewall-Regelan
Der ipfwadm -Aufruf setztsichzusammenaus
WannIncoming(-I) Outgoing(-O) oderForwarding(-F)
Wohin
MankannneueRegelnandenAnfangderListe (-i) oderandasEndederListe (-a) Die RegelnwerdenimmervonvornenachhinteninterpretiertbeidererstenpassendenRegelwird nichtweitergesucht
Wastun
Soll dasPaketakzeptiertwerden(accept)oderabgewiesen(deny) werden
Protokoll
MoumlglicheProtokolle sindtcpudpicmpoderalles(all)
Quell-IP
AngabedesSource-IP-Nummern-Bereiches(-S)zB -S 19216842024
Ziel-IP
AngabedesZiel-IP-NummernBereiches(-D)
Port
Meistwird direkthinterderZiel-IP-NummernochderZiel-Portmit angegebendieskanndernumerischeWertoderderAlias wie in etcservices definiert
Wo
Mit demSchalter-W kanndieRegelauf einNetzdevicebeschraumlnktwerden
Weiterhingibt esfolgendewichtigeOptionen
-f zuruumlcksetzendesReglewerkesfuumlr -I -O oder-F
-o beimZutreffenderRegelwird eineMeldungvia syslogin varlogmessages geschrieben
-m Masqueradingsu
-A Accountingsu
-l oder-lne Listet dieRegeln
1063 Wasfuumlr Regelnbrauche ich mindestens
EinesdergroumlszligtenSicherheitsloumlcherist dassogenannteSpoofing Darunterverstehtmandaszligein eigentlichfremderRechnerbehaupteteine IP-Nummerausdem eigenen(sicheren)Netz zu haben Dahermuumlssenals erstesRegelndefiniertwerdendie verhinderndaszligeigeneIP-NummernausdemunsicherenNetzhereinkommenkoumlnnen
Als naumlchstessollte manalle Zugriffe von auszligenverbietenund nur (bei Bedarf) die benoumltigtenDienste(sendmailwww) freischalten
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 48
1064 Ein einfacherFir ewall
DaslokaleEthernetist auf192168420konfiguriertWir erwartenIP-NummerausdemBereich1931103024zuge-wiesenzubekommenwobeiderPtP-PartnernichtausdiesemBereichist (sonstwuumlrdenseinePaketeauchabgewiesenwerden)
spoofing verbieten
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 19216842024 -D 1931103024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 19216842024 -W ippp0
sbinipfwadm -I -a deny -o -P all -S 1931103024 -D 1931103024 -W ippp0
Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 25 -W ippp0
Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben
sbinipfwadm -I -a accept -P tcp -S 00 -D 192168421 53 -W ippp0
sonst alles verbieten (getrennt fuer Protokoll tcp und udp)
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P tcp -S 00 -D 1931103024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 19216842024 11023 -W ippp0
sbinipfwadm -I -a deny -o -P udp -S 00 -D 1931103024 11023 -W ippp0
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
FW_START=yes
FW_LOCALNETS=19216842024 1931103024
FW_MAILSERVER=192168421
FW_DNSSERVER=192168421
FW_WORLD_DEV=ippp0
FW_LOG_ACCEPT=no
FW_LOG_DENY=yes
FW_TCP_LOCKED_PORTS=11023
FW_UDP_LOCKED_PORTS=11023
Sieheauchusrdocpackagesfirewall
107 Masquerading
Masquerading(auchNetwork Adr essTranslation genannt)brauchtmandannwennmanein internesNetzmit pri-vatenIP-Nummernhat vom ISP abernur eine IP-Nummer(und diesevielleicht sogardynamisch)bekommt DieIP-Pakete werdenbeim rausschicken auf der Internetleitungumgeschriebenund mit der eigenenIP-Nummerver-sehen Umgekehrt wird eineTabelleder offenenVerbindungengehaltendamit einkommendePaketewiederdemurspruumlnglichenAbsenderzugestelltwerdenkoumlnnen
Hat mansichmit demFirewall (Paketfilter via ipfwadmso)vertrautgemachtist Masqueradingfasttrivial dennesfindetanderselbenStellestattundwird fastgenausokonfigurierteswird lediglich derSchalter-m dazugegeben
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
10 Konfiguration der Inter net-Dienste 49
Beispiel PaketeausdeminternenNetzwerk(19216842024)die zum Provider (Device ippp0 ) verschicktwer-densollenmit der jeweils guumlltigenIP-Nummermaskiertwerden Es wird einerForwarding-Ruleder Schalter-mmitgegeben
sbinipfwadm -F -a accept -P all -S 19216842024 -D 00 -m -W ippp0
Bei manchenInternet-Diensten(zB ftp) wird nicht nur ein Socket geoumlffnet sondernauchein zweiterfuumlr die Daten-uumlbertragungdiederServerzumClientaufbautDaderClientaberselbstnichterreichbarist (privateIP-Nummer)undderServerdieVerbindungzumfalschenRechner(IZG) aufbautklapptdieseMethodeohneweiteresWissenuumlberdiespeziellenEigenheitendesentsprechendenProtokolls nicht Abhilfe schaffendafuumlrspezielleRoutinendieauchdafuumlrre-maskierenkoumlnnenDiesewerdendurchKernel-Modulegeladen
sbininsmod ip_masq_cuseeme
sbininsmod ip_masq_ftp
sbininsmod ip_masq_irc
sbininsmod ip_masq_quake
sbininsmod ip_masq_raudio
sbininsmod ip_masq_vdolive
Bei SuSElaumlszligtsichobigesBspauchin der etcrcconfig einstellen
MSQ_START=yes
MSQ_NETWORKS=19216842024
MSQ_DEV=ippp0
MSQ_MODULES=ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive
Sieheauchusrdocpackagesfirewall
108 Accounting
Sieheman ipfwadm Stichwort -A
109 Samba
Sambaist einFile- undDruckerserver fuumlr dasunterWindowsbenutzteSMB-Protokoll
DasThemagehoumlrtalsogarnichthier her dochdenneskannin unseremFall Problememachen
BeimSMB-Protokoll wird sehrviel mit BroadcastsgearbeitetdieRechnerschickensichstaumlndig(auchwenneigentlichkeineAktionen ausgefuumlhrtwerden)Nachrichtenzu Der Samba-Server wird meist so ausgeliefertdaszligdieseralleverwendendbarenNetzdevicesbenutztunddorthinNachrichtenschicktalsoauchandasippp0-Device
Folge eswerdenstaumlndigVerbindungenaufgebaut
Abhilfe
1 StarteSambanur wennDu esauchbrauchstBei SuSEwird SambaschonaktiviertwenndasPaketinstalliertist Setzein etcrcconfig START_SMB=no
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
11 Installation 50
2 WennDu esbrauchstsageSambawelcheDevicesbenutztwerdenduumlrfen
In der etcsmbconf setzezB in derglobal -Sectioninterfaces = 1921682124
Mehr Infos
httpwwwsusedeSupportsdbisdn_samb ahtml
11 Installation
JenachverwendeterDistribution muumlssendie ProgrammeundTreiberselbstinstalliertwerden
111 verwendeteProgrammversionen
Kernel 2034
HiSax 21(aus203334)bzw 30
sudo 152
112 UnterschiedeKernel 20und 21
Routing beim 20erKernelwird wie obenausfuumlhrlichbeschriebendasRoutingfuumlr ein Netzdevice geloumlschtsobaldeineneueIP-NummerzugewiesenwurdeBeim 21erKernelist diesandersgeloumlstHier reichteswenndasRoutingeinmaligbeim Booteneingestelltwird die Dateienetcpppip-up und etcpppip-
down koumlnnendaherwesentlicheinfachergehaltenwerden
12 MailinglistenNews
121 WelcheMailinglisten gibt es
Zwei Mailinglistenbeschaumlftigensichausschliesslichmit demThemaisdn4linux
isdn4linuxhub-wuefrankende Diesist die offizielle Mailing-Liste Zum subscribenschicke maneineMail an
majordomohub-wuefrankende
mit subscribe isdn4linux emailadresse im Body der Mail (Subjectist egal) wobei email-
adresse dieeigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Alternativ kannmanauchuumlberdieNewsgruppe
dealtcommisdn4linux
teilnehmen
UumlberdenServerhttpwwwdejanewscom kannmandieseMailinglistedurchsuchen
suse-isdnsusecom Die i4l-Mailingliste speziellfuumlr dieSuSE-Distribution
Zum subscribenschicke man eine Mail an majordomosusecom mit subscribe suse-isdn
emailadresse im Body der Mail (Subjectist egal) wobei emailadresse die eigeneE-Mail-Adresseist - bitte sorgfaumlltig pruumlfen
Diese(undweitereSuSE-)Mailingliste(n)stehenauchuumlbereinWWW-Frontend(zumLesen)zurVerfuumlgung
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
13 Links 51
httpwwwsusecomMailinglistsindexh tml
122 Wie frage ich auf der Mailingliste
Jebessermanfragt destobesserist die Antwort SchreibeuumlbersichtlichNiemandliest sicheinenewig langenTextdurchnurum herauszufindenwasuumlberhauptdieFrageist
Stellezunaumlchstsicher daszligdie Loumlsungnicht schonbeschriebenist es ist unfair und ZeitverschwendunganderezufragenwennmanesselbstnachlesenkoumlnnteSiehe13 (Links) undsuchenacheinerLoumlsung
Auf
httpwwwdejanewscomhome_psshtml
kannstDu in derNewsgroupdealtcommisdn4linux direkt nacheinemStichwort suchenum zu sehenobDeinProblemev vor kurzemschondiskutiertundgeloumlstwurde
Gib DeineDistribution und die verwendetenVersionsnummern(zB KernelHiSax) mit an Gib auchan wasDuschonprobierthast
Gib exakteFehlermeldungenzB ausvarlogmessages Niemandkannraten- mit selbst(falsch)interpre-tiertenMeldungenkannniemandetwasanfangen
123 Wie helfe ich auf der Mailingliste
Moumlglichstviel undgut -)
13 Links
131 WWW und FTP
HomepagevomISDN-HOWTO httpwwwfrankendeusersklausDE -ISDN- HOWTOhtml DE-IS DN-HOWTOhtml
dieenglischeVersion(nochin Arbeit)desISDN-HOWTO httpwwwnordkomnetsurfdeScott HansonEN-i 4lht ml
DeutschesLinux HOWTO Projekthttpwwwtu-harburgde˜semb220 4dlh p
Die SuSESupport-DatenbankhttpwwwsusedeSupportsdb
Hinweisezu fetchmailhttpwwwsusedeSupportsdbfetchm ailht ml
HinweisezuungewolltenVerbindungsaufbautenhttpwwwsusedeSupportsdbisdn_ dialh tml
Bernd-HailersLeafsiteDokumentationhttpwwwlrz-muenchende˜ui161a bwwwisdn
WeitereBeispiel-Konfigurationenhttpwwwrosatmpe-garchingmpgd e˜we bISD Nhtml
RST-Provoking Patch httpwwwimagedk˜ehcorrylinux siehe auch 61 (Der RST-provokingmode)
MichaelHipprsquosISDN-Seite(ipppd)httpwwwsfsnphiluni-tuebingen de˜h ippis dnis dnht ml
Deroffizielle FTP-Server ftpfrankendepubisdn4linux
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
14 Credits 52
Die aktuellstenVersion der Utils und vom HiSax ftpsusecompubisdn4linux (Siehe auchftpsusecompubisdn4linuxREAD ME) Hier wird derCVS-Tree(Entwicklerbaum)tagesaktuellalstgz-Fileeingepackt
Das SuSEi4l-Paket und die SuSE-ScriptsftpsusecompubSuSE-Linux52suse n1
(Statt 52 jeweils die aktuelle Version einsetzen) Interessantsind die Paket i4lrpm Basispa-ket ftpsusecompubSuSE-Linux52 susen 1i4l rpm i4ldocrpm DocumentationftpsusecompubSuSE-Linux52 suse doc1i 4ldoc rpm i4lfirmrpm FirmwarefuumlraktiveKarten ftpsusecompubSuSE-Linux52 susen 1i4l rpm
AVM-B1 FTP-Server callein-berlindepublinuxisdn
ISDNFAQ httpwwwsusededokui4l-faqinde xhtm l
kISDN httpwwwphysikuni-bielefeldd e˜tw esthei kISD Nhtm
ISAPnPHOWTO httpwwwsusedeSupportsdbrb_isa pnph tml
TelefonanrufealsWinPopUp-Fenster(Win95NT)meldenhttplinux0urzuni-heidelbergde ˜mseu ffer datas
ISDN-Kabelselbermachenhttpurielain-berlinde˜hififa qkabe lhtml isdn
132 lokale Dokumentationen
Siehe (bei SuSE) usrdocpackagesi4l und usrdocpackagesi4ldoc (die FAQ Paketi4ldoc )
Hilfesystem(Startmit hilfe ) insbesonderedie Support-DBunterder URL httplocalhostsupport-
dbsdb
Sind die Kernelquelleninstalliert steht im VerzeichnisusrsrclinuxDocumentationisdn sehrvielnuumltzliches
133 Buumlcher
Sendmail (Fledermausbuch)OrsquoReilly
Fir ewall () OrsquoReilly
14 Credits
An diesemHOWTO habenmitgewirkt
CarstenSchwertfeger Korrekturen
Bedankenmoumlchteich ich michbei
Karsten Keil fuumlr seinenunermuumldlichenEinsatzbeimHiSax-Treiber
Fritz Elfert fuumlr ISDN4linux
Michael Hipp fuumlr denipppd
Erik Corry fuumlr denRST-Provoking-Patch
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-
15 News 53
derMailingliste und Newsgruppeisdn4linuxhub-wuefrankende
beiSuSE
undvielenvielenweiterenEntwicklern
15 News
Aumlnderungenim HOWTO
151 v1202 September1998
Typosvon CarstenSchwertfegerintegriert
Hinweisauf Kernel21Routing
einigeneueLinks
- Einleitung
-
- Voraussetzungen
- Was soll erreicht werden
- Was muss ich lesen was soll ich lesen
- Sprache
- keine Gewahrleistung
- Feedback
- Copyright
-
- Grundlagen
-
- ISDN4Linux Modem oder Netzwerk
- Uberblick uber die Features
- Uberblick uber die fehlenden Features
- Uberblick uber die Tools
-
- Hardware-Modul laden
-
- isdnlog konfigurieren
- PlugampPlay-Karten
- HiSax-Treiber laden
-
- Laden mit YaST
- Laden uber ttfamily etcrcconfig
- Laden von Hand
- Troubleshooting
-
- Hardware testen
- Ubung Hardware ansprechen
-
- Grundlagen ISDN Parameter zur Verbindungskontrolle
-
- ISDN
- TK-Anlagen
- Was ist meine MSN
- Probleme beim Verbindungsaufbau die Cause Meldungen
-
- syncPPP Verbindung herstellen
-
- Unterschiede analog - ISDN
-
- Analog
- ISDN
-
- Was ist eigentlich synchrones PPP
- Die Konfiguration
-
- Netzdevices anlegen und konfigurieren
- ipppd starten
- Authentifizierung beim ipppd
- Welche Daten muss ich uber den Zugang kennen
- PPP bei SuSE einrichten
-
- Probleme beim Verbindungsaufbau Troubleshooting
- Ubung syncPPP-Verbindung herstellen
-
- Probleme mit dynamischen IP-Nummern
-
- Der RST-provoking mode
- Welche IP-Nummer setze ich denn eigentlich
-
- Routing
-
- Was ist Routing
- Wie konfiguriert man das Routing
-
- SuSE Methode
- Manuelle Methode
- Loschen von Routing-Eintragen
-
- Kontrollieren der Routingtabelle beim Verbindungsauf- und abbau (etcpppip-up)
-
- Was macht das Script ip-upip-down
-
- Ubung Kontrolliere die IP-Nummer und die Routing-Tabelle
-
- IP-Nummern Auflosung (DNS)
-
- feste IP-Nummern Auflosung uber etchosts
- dynamische IP-Nummern Auflosung mit DNS
- Konfiguration der Namensauflosung
-
- Namensauflosung bei SuSE
-
- Probleme mit der Namensauflosung
-
- Checkliste
-
- Dial-On-Demand kontrollieren
-
- Verbindungen uberwachen
- Grund der Verbindung feststellen
- Verbindungen auswerten
- Dial-On-Demand an- und ausstellen
- Tips im SuSE System
- Wie erlaube ich normalen Benutzern Dial-In-Demand zu aktivieren
-
- Konfiguration der Internet-Dienste
-
- DNS-Cache
- Squid
-
- Starten von Squid
- Clients anpassen
-
- Fetchmail
- Sendmail
- News
-
- slrn installieren und konfigurieren
- Leafnode installieren und konfigurieren
-
- Firewall
-
- Was ist ein Paketfilter
- Wie gibt man eine Firewall-Regel an
- Was fur Regeln brauche ich mindestens
- Ein einfacher Firewall
-
- Masquerading
- Accounting
- Samba
-
- Installation
-
- verwendete Programmversionen
- Unterschiede Kernel 20 und 21
-
- MailinglistenNews
-
- Welche Mailinglisten gibt es
- Wie frage ich auf der Mailingliste
- Wie helfe ich auf der Mailingliste
-
- Links
-
- WWW und FTP
- lokale Dokumentationen
- Bucher
-
- Credits
- News
-
- v12 02 September 1998
-